Auditoria Interna Janeiro/Março 2007 Revista Trimestral Publicação Gratuita Nº 26

A relevância do Controlo interno

Gestão do Risco Empresarial (ERM)

Auditoria Interna Janeiro/Março 2007 Nº 26 2

ÍÍÍÍndicendicendicendice

EditorialEditorialEditorialEditorial

Auditoria Interna – evolução para além da Sarbanes-Oxley, Orlando Sousa, CCSA, Vice-presidente IPAI, Director de Auditoria da Sonae Distribuição

2 Auditoria de SistemasAuditoria de SistemasAuditoria de SistemasAuditoria de Sistemas – Macros – Automatizar os testes e análises em auditoria, Drumond de Freitas – Equiconsulte

20

AudireAudireAudireAudire

A independência em auditoria, Manuel Marques Barreiro, Presidente IPAI

4 A palavra ao CIA A palavra ao CIA A palavra ao CIA A palavra ao CIA –––– Fernando Monteiro, CIA 22

ArtigosArtigosArtigosArtigos Notícias 25 Os sistemas de gestão da qualidade nas instituições de ensino superior – 2ª parte, Maria da Conceição Costa Marques 5 Plano de Formação 2007Plano de Formação 2007Plano de Formação 2007Plano de Formação 2007 26 Gestão do risco – da abordagem tradicional à gestão de risco empresarial (ERM), Nuno Castanheira, Lúcia Lima Rodrigues 9 GlossárioGlossárioGlossárioGlossário 27 Auditoria interna – fornecer valor, Joaquim Leite Pinheiro 13 Pesquisa na RedePesquisa na RedePesquisa na RedePesquisa na Rede 28 Controlo interno: ser pequeno não interessa, tradução de Mário Carvalho 15 O Zé auditorO Zé auditorO Zé auditorO Zé auditor, Miguel Silva 29

II Fórum de Auditoria Interna 2007II Fórum de Auditoria Interna 2007II Fórum de Auditoria Interna 2007II Fórum de Auditoria Interna 2007 19

Foto da capa: Domingos Sequeira

Propriedade e Administração IPAI – Avenida Duque de Loulé, 5 – 2 B – 1050-085 LISBOA Contribuinte nº 502 718 714; Telefone/Fax: 215 315 002 Correio electrónico: ipai@netcabo.pt; sítio: www.ipai.pt

FICHA TÉCNICA Director: Joaquim Leite Pinheiro Joaquim.l.pinheiro@sapo.pt; Coordenação de edição: Domingos Sequeira, Orlando Sousa; Redacção: Manuel Marques Barreiro ipai@netcabo.pt; Conselho Editorial: Manuel Barreiro, Domingos Sequeira, Francisco Melo Albino; Colaboradores nesta edição: Maria da Conceição Marques, Lúcia Lima Rodrigues, Nuno Castanheira, Raul Fernandes, Drumond de Freitas, Mário Carvalho, Miguel Silva.

Pré-impressão: IPAI Impressão e Acabamento: CEM Ano VII – Nº 25 – TRIMESTRAL Janeiro/Março 2007 TIRAGEM: 750 exemplares; Registo: DGCS com o nº 123336; Depósito Legal: 144226/99; Expedição por correio; Grátis

Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2 B – 1050-085 LISBOA; Telefone/Fax: 213 151 002 Correio electrónico: ipai@netcabo.pt

Visite-nos em www.ipai.pt Nota: Os artigos vinculam exclusivamente os seus autores, não reflectindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI www.ipai.pt após a edição da revista impressa.

Missão

Promover a partilha do saber e da prática em auditoria interna, gestão do

risco e controlo interno.

Auditoria Interna Janeiro/Março 2007 Nº 26 3

EdEdEdEditorialitorialitorialitorial

actualidade da Auditoria Interna (AI) está muito marcada pela adopção nos EUA da lei de Sarbanes-Oxley (SOX), em especial

a secção 404. Esta regulamentação, que tem como principal aspecto positivo o reforço do controlo interno das Empresas cotadas, teve talvez uma interpretação demasiadamente extensiva ao incrementar o foco na verificação da evidência dos controlos que garantem a correcção dos registos financeiros, tendo como consequência directa um incremento do trabalho e do papel da Auditoria Interna. Num primeiro momento, para analisar e aperfeiçoar os sistemas de controlo e, seguidamente verificar a evidência da realização dos controlos instituídos de uma forma continuada. Para assegurar este aumento de responsabilidade e volume de trabalho, os departamentos de Auditoria Interna ganharam maior visibilidade dentro das Empresas e viram aparecer uma oportunidade de crescer em número de colaboradores, reforçando assim a sua importância. Este movimento, que teve o seu início nos Estados Unidos, espalhou a sua influência um pouco por todo o lado, com maiores ou menores adaptações. Mas esta oportunidade que se coloca à Auditoria Interna tem também o seu reverso da medalha, neste caso, e na nossa opinião, podendo consistir em três principais problemas: Em primeiro lugar o foco na verificação da evidência dos controlos da informação financeira como trabalho da Auditoria Interna revela-se, como é óbvio, ao fim de pouco tempo, uma tarefa monótona e repetitiva.

Esta realidade faz com que nos EUA seja hoje mais difícil recrutar os jovens recém formados mais brilhantes para a carreira de Auditoria Interna, pois os horizontes de desenvolvimento e realização profissional são claramente mais limitados. E mesmo aqueles que num primeiro momento se deixam aliciar por esta carreira, rapidamente se cansarão de exercer tarefas tão repetitivas e pouco exigentes de capacidade de raciocino e inovação. A médio e longo prazo, esta realidade pode significar uma diminuição da qualidade dos colaboradores e líderes da função de Auditoria Interna. Em segundo lugar, de acordo com alguns estudos recentemente publicados, o incremento de recursos humanos, trabalho e burocracia (muitas vezes duplicados com a actividade da Auditoria Externa) necessários à verificação dos controlos da informação financeira, representa um acréscimo estimado de cerca de 1% do volume de negócios nos custos das Empresas. Em mercados extremamente concorrenciais e competitivos como os de hoje, as oportunidades de crescimento das margens via aumento do preço de venda dos produtos ou serviços são muito reduzidas. De facto, o que se observa actualmente nos países mais desenvolvidos é muitas vezes a redução do preço de venda. Assim, a única alternativa para as Empresas ganharem competitividade é reduzindo os seus custos. Isto faz com que a necessidade de aumento de custos da Auditoria para garantir o cumprimento da SOX esteja em contra ciclo com a realidade da vida Empresarial actual.

A

Auditoria Interna – evolução para além da Sarbanes-Oxley Orlando Sousa, CCSA, Vice-presidente IPAI, Director de Auditoria da

Sonae Distribuição

A Auditoria Interna deverá, portanto, deixar de estar virada essencialmente para garantir a correcta escrituração do passado, para estar mais comprometida com o negócio na consecução dos objectivos e metas da Empresa.

Auditoria Interna Janeiro/Março 2007 Nº 26 4

Ainda para mais, e entrando agora no terceiro problema, este acréscimo de custos e de carga burocrática visa essencialmente garantir que os dados contabilísticos expressos nas peças de informação financeira das Empresas estão 100% correctos e fidedignos, ou seja, este acréscimo de garantia de que o passado da empresa está correctamente reflectido nas suas contas, traz muito pouco em termos de retorno. Ainda para mais, não é pelo facto de garantirmos que essa realidade histórica está bem expressa que quem for desonesto deixará de praticar uma fraude. Em minha opinião, a pressão, que terá tendência a aumentar, sobre os custos das empresas, que tem inclusivamente levado algumas empresas a saírem de cotação em Nova York para se cotarem em praças alternativas como por exemplo em Londres, irá conduzir, mais tarde ou mais cedo, a uma revisão e simplificação da SOX. Quando isso acontecer, a Auditoria Interna nos USA terá que mudar o seu foco e alinhar com o resto da Empresa na redução de recursos empregues e custos. Na Europa não foi adoptada a SOX com o seu exagero de securitização, em minha opinião muito influenciado pelo facto de que em cerca de 80% das Empresas europeias existe um accionista de referência que está na Gestão ou acompanha de muito perto essa Gestão, diminuindo assim o risco de falsificação ou empolamento de resultados para obter prémios de desempenho mais elevados pelas equipas de Direcção. Neste caso, a opção que os departamentos de Auditoria Interna das Empresas portuguesas têm para aumentar a sua responsabilidade e importância dentro das suas Empresas, é a via do valor acrescentado.

A Auditoria Interna deverá então estar focada em garantir o alinhamento de toda a Empresa com as linhas estratégicas definidas pela sua equipa Directiva, de forma a ajudar na concretização dos objectivos do negócio. Desta forma a AI, orientando a sua actuação para ajudar o resto da Empresa na detecção, análise e gestão dos principais riscos que se colocam ao desenvolvimento do negócio, acrescenta valor ao contribuir para assegurar, por um lado, que as vendas ou prestações de serviços se concretizam com a margem esperada, e, por outro lado, que os custos são os menores possíveis e só aqueles que estão orçados e autorizados. A AI deverá, portanto, deixar de estar virada essencialmente para garantir a correcta escrituração do passado, sendo muitas vezes vista como um mal necessário, para estar mais comprometida com o negócio na consecução dos objectivos e metas da Empresa, podendo assim ser vista como um consultor interno especializado no apoio à detecção, minimização e gestão dos principais riscos que se podem colocar à Companhia, permitindo à Gestão assumir mais risco, aproveitando novas oportunidades de negócio. Para poder percorrer esse caminho, os departamentos de AI terão que possuir não só um profundo conhecimento do negócio como adquirir novas competências, nomeadamente nas áreas mais operacionais e de Sistemas de Informação. Sendo esta via, quanto a nós, mais exigente é também muito mais interessante e a única forma de, no longo prazo, a AI acrescentar valor à Empresa e não somente custos, tornando-se assim num elemento útil e importante na Gestão e Sustentabilidade das Empresas.

o

Colabore. DigaColabore. DigaColabore. DigaColabore. Diga----nos a sua opinião. Utilize o nosso nos a sua opinião. Utilize o nosso nos a sua opinião. Utilize o nosso nos a sua opinião. Utilize o nosso

correio electrónico correio electrónico correio electrónico correio electrónico ipai@netcabo.ptipai@netcabo.ptipai@netcabo.ptipai@netcabo.pt

Auditoria Interna – evolução para além da Sarbanes-Oxley (SOX)

Auditoria Interna Janeiro/Março 2007 Nº 26 5

AAAAudireudireudireudire

entre outros significados, ser independente, em

termos genéricos, significa ser autónomo,

insubmisso ou livre.

Quando falamos de independência em auditoria,

estamos a querer dizer que o auditor está aquém da actividade

que audita, não tanto como sujeito, entenda-se, mas

sobretudo enquanto motor da acção. Isto é, não pode ser

considerado como parte interessada.

Para bem poder desempenhar a sua função, tem que pairar,

em termos de avaliação ou análise, sobre os conteúdos,

objecto da sua acção.

A Norma funcional 1.100 – Independência e objectividade,

define o conceito de “independência orgânica” como …livre de

interferências ao determinar o âmbito da auditoria interna, no

desempenho do trabalho e na comunicação dos resultados.

Quanto a nós, e para além daquilo que As Normas

Internacionais Para a Prática da Auditoria Interna, definem ou

consideram como independência, achamos que se deve ir

ainda um pouco mais longe neste conceito.

Assim, só haverá, em nosso entender, absoluta independência

do auditor, se ele se não deixar desviar, seja a que título for,

dos objectivos, (gerais e específicos), do seu projecto de

auditoria. Isto é, o auditor não se deve deixar influenciar por

indicações, orientações, ou mesmo até sugestões sobre o seu

trabalho, principalmente quando elas partam dos responsáveis

ou afins, das áreas que estejam a ser auditadas.

É evidente que este tipo de intervenção de ser sempre

acautelado e também aqui, deve imperar o bom senso. O

auditor certamente que terá o discernimento suficiente para

distinguir as indicações que possam contribuir para a eficácia

do seu trabalho, das que, pelo contrário, visam somente

baralhar, confundir ou desviar o auditor, propositadamente,

daquilo que pode ser essencial, para aspectos de natureza

acessória.

Há quem pense que é difícil ser-se independente quando um

número importante de variáveis pode condicionar, na prática, o

trabalho do auditor. A este propósito, devo dizer que tenho

uma opinião diferente. Bem diferente mesmo, quando à

auditoria interna, em qualquer organização, for dado o lugar de

prestígio que lhe é devido. É certo que a função auditoria deve

impor-se pelo que vale, por aquilo que é capaz de fazer e não

deixar, nunca, que possam vir a pôr em causa a sua

competência.

Contudo, se o departamento de auditoria não responder, em

termos hierárquicos, ao topo da organização ou figura

equivalente, terá alguma dificuldade em se afirmar e actuar

com independência.

Normalmente as pessoas menos avisadas têm a tendência

para ajuizar, em minha opinião, erradamente, que a auditoria

interna é menos independente do que auditoria externa.

Não vos vou fazer perder tempo com a distinção e muito

menos ainda com os porquês desse falso juízo. Que cada um,

e já agora, de forma independente, que ajuíze por si.

Para terminar e à laia de moral de história, direi somente

que quando o auditor interno actua sem independência,

agindo por influência de terceiro, para além de se estar a

trair a si próprio, estará também, simultaneamente, a

adulterar a auditoria interna, ao remetê-la, deste modo,

para funções de características meramente

administrativas. Ora, isso, na nossa perspectiva não pode

ser considerado auditoria, tal qual a entendemos.

o

D

A independência em auditoria Manuel Marques Barreiro, Presidente IPAI

O auditor certamente que terá o discernimento suficiente para distinguir as indicações que possam contribuir para a eficácia do seu trabalho...

Auditoria Interna Janeiro/Março 2007 Nº 26 6

Artigos

2. Implementação de um sistema de qualidade na

Universidade

lgumas universidades, conscientes da realidade

actual, iniciaram um processo progressivo de

incremento simultâneo, ao nível organizativo e de

eficiência na gestão do conhecimento científico e

técnico (Rodríguez Castellanos et al, 2001:22).

O nível de partida corresponde à gestão universitária tradicional,

que evidenciou alguns aspectos negativos. Pretende-se depois

uma gestão pela qualidade, e com ela se pretende alcançar a

satisfação dos clientes da Universidade.

Um passo mais à frente consiste na gestão da informação, com

o objectivo de optimizar a integração da informação. Finalmente,

o passo seguinte conduz à gestão do conhecimento, onde se

deve actuar por processos.

Sabendo de antemão a importância de que se reveste a

qualidade na gestão universitária, indispensável a um processo

de mudança como aquele que se vem verificando nos diferentes

países, neste ponto da tese enfatizamos a importância da

qualidade na instituição universitária.

Na opinião de Rodríguez (2002:281) da ampliação e

consolidação da autonomia universitária resultou um

processo de descentralização dentro das próprias

universidades, que fomenta a capacidade inovadora das

faculdades, escolas e departamentos em função da sua

organização interna.

Por outro lado, devido às profundas transformações

estruturais decorrentes dos novos desafios que vão

desde o ambiente à globalização da economia, dos

novos métodos de trabalho e formas de emprego aos

mercados sem fronteiras, das novas missões do Estado

às responsabilidades participativas da sociedade civil e

do cidadão (Saraiva et al, 2000:11), está cada vez mais

difícil enquadrar a temática da qualidade num contexto

de sociedade, onde o ensino ocupa um lugar de relevo,

enquanto fonte de vantagem competitiva essencial, de

um país ou região num horizonte de médio / longo prazo.

Nas últimas décadas assistiu-se a um desenvolvimento e

massificação do ensino a que nem sempre correspondeu

a transferência de fundos públicos para a educação nas

mesmas proporções (Parker, 2002:611).

Tal situação fez com que as instituições de ensino, no

sentido de garantirem a qualidade, procurassem fazer

mais e melhor com menos recursos (em termos relativos)

e fez emergir questões de eficácia de gestão e de

responsabilidade.

Devido a estas e outras circunstâncias, tudo se congrega

para que a Gestão da Qualidade no Ensino pareça estar

finalmente a despertar, e, prova disso, é a recente

assinatura da Carta Europeia da Qualidade (1998), onde

se subscreve (Saraiva et al, 2000:12) “a promoção de

uma abordagem generalizada da qualidade no sector

empresarial e no sector público e o desenvolvimento do

ensino da qualidade em todos os níveis do sistema de

educação, do primário ao superior”.

A

Os sistemas de gestão da qualidade nas Os sistemas de gestão da qualidade nas Os sistemas de gestão da qualidade nas Os sistemas de gestão da qualidade nas

instituições de ensino superior instituições de ensino superior instituições de ensino superior instituições de ensino superior –––– 2ª parte

Maria da Conceição da Costa Marques, Ph.D Doutora em Gestão, especialidade em Contabilidade, Professora Adjunta do Instituto Superior de Contabilidade e Administração de Coimbra

…“a promoção de uma abordagem generalizada da qualidade no sector

empresarial e no sector público e o desenvolvimento do ensino da qualidade em

todos os níveis do sistema de educação, do primário ao superior”.

Auditoria Interna Janeiro/Março 2007 Nº 26 7

Algumas barreiras se colocam, no entanto, quanto à

implementação de sistemas de qualidade no seio das

instituições de ensino, nomeadamente, os elevados níveis de

descentralização (empowerment), dos docentes; a ausência de

formação dentro das escolas dos princípios e ferramentas da

qualidade; a diversidade de potenciais clientes, onde cada um

dos diferentes tipos de stakeholders tem diferentes perspectivas;

culto do individualismo e de pequenas “quintas”; inexistência de

mecanismos de recompensa e reconhecimento do mérito; o

facto de a liderança de uma escola ser tipicamente difícil de

assumir; e há que contar ainda com vários “Velhos do Restelo”,

que se refugiam em argumentação diversa do tipo “temos

sobrevivido assim, essas coisas são para as empresas, trata-se

apenas de uma moda a evitar, etc.”

Para os autores mencionados (2000:18), não existem receitas

mágicas para implementar um sistema de qualidade. A adesão

integrada a um sistema de gestão pela qualidade, pressupõe a

construção e implementação de um verdadeiro Projecto de

Escola, assente na definição de uma estratégia de

desenvolvimento, visão, missão e valores.

Na definição de um Projecto de Escola, têm de ser tidos

em consideração alguns aspectos, como sejam, o

alinhamento de todos os colaboradores à volta do tecido

organizacional, de molde a melhorar e tornar mais eficaz

o funcionamento, clarificar os propósitos e reforçar a

excelência da instituição.

Existem outros aspectos a considerar, sobressaindo a

definição clara dos diversos tipos de clientes, internos e

externos; a partilha de melhores práticas e troca de

informação com diversas instituições de ensino (e não

só...); o desenvolvimento de esforços por equipas de

natureza inter-funcional, combinando uma diversidade de

experiências e saberes (Scholtes, citado por Saraiva et

al, 2000:19); a identificação de indicadores e métricas de

avaliação do desempenho; o estabelecimento de

mecanismos de gestão de recursos humanos coerentes

com o contributo de cada pessoa, equipa ou processo;

canais eficazes de comunicação e intercâmbio de

opiniões e recolha e processamento de informação de

gestão; liderança forte, realmente empenhada na sua

concretização e praticante de um estilo de gestão

participativa.

Subsiste uma probabilidade remota de encontrar nas

universidades todas as condições antes referidas. Deve,

no entanto, salientar-se que existe um patamar abaixo do

qual deve ser ponderada a adesão à gestão pela

qualidade, como sistema integrado de funcionamento da

escola.

Em termos de guias de orientação, quer na literatura,

quer através de diversos tipos de entidades, existe uma

imensidão de metodologias de medição e orientação

para a melhoria e a avaliação da qualidade no ensino.

A este respeito, são de destacar, pela sua projecção na

perspectiva da garantia da qualidade, as normas NP EN

ISO 9000, e na óptica de uma gestão pela TQM, os

modelos de excelência desenvolvidos no seio da EFQM –

European Foundation for Quality Management (1996).

As normas ISO 9000 fornecem um enquadramento dos

elementos a incluir num sistema de garantia da

qualidade, e contemplam, pela sua própria natureza

universal, um grau de liberdade suficientemente amplo

que permite a cada instituição construir um sistema

congruente com as suas características e dimensões.

Saraiva et al (2000:31) afirmam que o fenómeno ISO

9000 atingiu desde 1987 uma dimensão de tal ordem,

que se estima existirem, a 31 de Dezembro de 1997,

mais de 225.000 entidades certificadas, incluindo

algumas escolas, de acordo com estas normas (9001,

9002 ou 9003), espalhadas por cerca de 130 países.

Em Portugal, a 31 de Dezembro de 1998 existiam à volta

de 900 organizações com certificados ISO 9000 obtidos

(algumas das quais na área do ensino e formação).

A certificação pela norma ISO 9001 é a mais adequada

para entidades que exercem com alguma intensidade

actividades de concepção e projecto.

Dado que o ensino é dinâmico, desde a criação de novos

cursos, aos currículos ou métodos de aprendizagem

cada vez mais frequentes, vê-se toda a vantagem em

que uma instituição de ensino seja certificada pela norma

ISO 9001, sendo de excluir, à partida, a norma ISO 9003.

As universidades que enveredarem por este caminho

utilizarão, em princípio, a norma ISO 9001.

O Sistema de Qualidade em Serviços Públicos (SQSP),

instituído pelo DL nº 166-A/99, de 13 de Maio, advoga

que a Administração Pública não pode ficar imune às

exigências de uma sociedade que requer cada vez mais

informações rigorosas, o que a obriga a adoptar sistemas

de organização e de funcionamento, direccionados para

a melhoria da qualidade dos serviços prestados ao

cidadão.

Os sistemas de gestão da qualidade nas instituições de ensino superior – 2ª parte

Auditoria Interna Janeiro/Março 2007 Nº 26 8

O facto do Sistema Português da Qualidade (SPQ) não

se harmonizar com as especificidades da estrutura

jurídico-financeira dos serviços públicos, conduziu à

criação do SQSP (ver figura II).

Convém salientar que essa razão não impede a

interacção entre os dois sistemas, nomeadamente

através da participação do SQSP no Conselho Nacional

do SPQ (Cunha et al, 2001:4).

Fig. II - Sistemas de Qualidade instituídos em Portugal

Sistema 1SPQ

(Sistema Português de Qualidade)

Sistema 2SQSP

(Sistema de Qualidade em Serviços Públicos

Sector Industrial Produtivo

Particulares especificidades

da estrutura jurídico-financeira

dosServiços Públicos

Busca da Qualidade

Actuação transparente

Actuação consistente

Institucionalização de uma nova Cultura de Gestão

da Administração Pública

Participação no Conselho

Nacional da Qualidade

Fonte: Cunha et al (2001: 5)

Da definição de qualidade dada pelo DL nº 166-A/99, de 13 de

Maio, a saber: “a qualidade em serviços públicos é uma filosofia

de gestão que permite alcançar uma maior eficácia e eficiência

dos serviços, a desburocratização e simplificação de processos

e procedimentos e a satisfação das necessidades explícitas e

implícitas dos cidadãos”, se retira a ideia de que para uma

melhoria da qualidade se faz apelo a um espaço de liberdade e

responsabilidade, a uma forma participativa e construtiva de

estar na Administração Pública.

A Universidade de Coimbra (UC) foi a primeira Universidade

portuguesa a desenvolver um projecto de implementação de um

Sistema de Gestão da Qualidade, segundo a Norma NP EN ISO

9001: 2000 nos seus serviços de gestão administrativa e

financeira. O projecto culminou, conforme previsto no

cronograma inicial de controlo, com a certificação da área de

gestão dos recursos humanos e gestão administrativa e

financeira da Administração desta Universidade (Mano, 2003).

Actualmente, a UC está a alargar, progressivamente, a

implementação do SGQ a todas as suas unidades orgânicas e

serviços. Esta Universidade, ciente de que para produzir valor é

preciso inovar, introduzir mudanças, implementou internamente

políticas de qualidade, que visam, inclusive, a realização

profissional dos próprios profissionais que fazem a gestão

pública. Essa produção de valor passará pelo recurso à

formação e investimento em tecnologias da informação e

comunicação.

Em sequência dum processo desta natureza, surge o conceito

de certificação. A Certificação pode ser encarada como o

reconhecimento formal, por uma terceira parte (entidade

certificadora, exterior à instituição de ensino) de que o sistema

de garantia da qualidade de uma organização cumpre os

requisitos estabelecidos num documento de referência. A

certificação ISO 9000 é um acto estritamente voluntário, sendo

de distinguir este aspecto do da implementação de um sistema

de garantia da qualidade.

Uma Universidade, ao optar pela certificação por uma entidade

certificadora, e uma vez certificada, adquire uma mais-valia em

termos de credibilidade e reconhecimento pelo mundo exterior,

em como o sistema de garantia da qualidade cumpre as

exigências estabelecidas numa norma de referência conhecida e

utilizada em quase todo o planeta, pelas mais diversas

organizações.

O processo de certificação envolve um conjunto de

etapas a definir, cujo percurso será o que melhor se

ajuste à sua realidade. Trata-se de uma “viagem de longo

curso” (Saraiva et al, 2000:37), que dura cerca de dois

anos1.

O conjunto de etapas subjacentes a este processo pode ser

analisado no quadro seguinte (fig. III):

Fig. III – Processo de Certificação

1. Estabelecimento de objectivos a atingir, calendarização e afectação de recursos

3. Análise do sistema da qualidade existente e identificação das mudanças a realizar

2. Definição / Revisão da política, objectivos da qualidade e selecção do modelo da norma

4. Formação e envolvimento dos colaboradores

5. Revisão, desenvolvimento e implementação dos procedimentos necessários

6. Selecção de um organismo certificador

7. Consulta de documentação e auditoria por parte do organismo certificador

10. Manutenção, revisão e melhoria do Sistema de Garantia da Qualidade implementado

8. Análise do relatório da auditoria e elaboração de comentários

Reconhecimento externo

atravéss de Certificação?

9. Atribuição imediata da Certificação?

NÃO

SIM

NÃO

SIM

Fonte: Adaptado de Saraiva et al (2000: 39)

1 A média apresenta alguma dispersão.

Os sistemas de gestão da qualidade nas instituições de ensino superior – 2ª parte

Auditoria Interna Janeiro/Março 2007 Nº 26 9

A implementação dum sistema de garantia da qualidade numa

Universidade, em conformidade com as normas ISO 9000, exige

o empenhamento dos seus responsáveis máximos, cautela na

condução das diversas etapas e não esperar que se encontrem

soluções imediatas para todos os problemas.

É também necessário tornar claro perante toda a comunidade

educativa o porquê da certificação e encará-la como um suporte

da melhoria contínua e não um fim em si mesma. A

complexidade e a criação de estruturas burocráticas e

dispendiosas devem ser evitadas, ao mesmo tempo que se deve

envolver todo o staff da Universidade.

Conclusões

Às instituições de ensino superior cabe o desafio de

responder às exigências de um mercado cada vez mais

competitivo, para o que deverão dispor dos instrumentos

necessários. A implementação de sistemas de gestão da

qualidade pode assumir um aspecto fundamental no

processo. Os tempos mudaram e quem não perceber

isso vai correr sérios riscos.

Os constrangimentos orçamentais são uma realidade e o

decréscimo da população estudantil não deixou ainda de

ser uma realidade. É preciso que as instituições estejam

preparadas para enfrentar os desafios que

permanentemente se lhes colocam. Nesta preparação

inclui-se a garantia da qualidade ao cliente: qualidade no

ensino, qualidade na investigação, qualidade na

prestação de serviços, etc.

Um sistema de gestão da qualidade permite à

Universidade gerir mais eficientemente as despesas

sociais, orientar os estudantes para melhores

oportunidades de emprego e desenvolver um ensino

compatível com uma sociedade de alta tecnologia.

Bibliografia

Caetano, António (1998). Avaliação de Desempenho – metáforas, conceitos e práticas. RH Editora. Lisboa.

Clark, Paul (2003). Quality by Audit. University of the Sunshine Cost, Article ID: 1234. Australia.

Cob, Charles G. (2003). From Quality to Business Excellence. ASQ Quality Press. Milwaukee, Wisconsin.

Conselho Nacional de Avaliação do Ensino Superior (2000). 1º Seminário Nacional -

Avaliação Global do Ensino Superior. Centro Cultural de Belém. 11 e 12 de Abril.

Conselho Nacional de Avaliação do Ensino Superior (2001). Seminário Avaliação e

Acreditação. Fundação Calouste Gulbenkian, 30 de Novembro.

Conselho de Reitores das Universidades Portuguesas (CRUP) (2003). Parecer sobre

o documento de orientação do Ministério da Ciência e do Ensino Superior “Avaliação,

Revisão e Consolidação da Legislação do Ensino Superior”. Maio de 2003.

Costa Pereira, Ana P. e Freitas Tavares, António F. (2002). O uso de indicadores de

performance na avaliação do ensino superior. RAPP – Revista de Administração e Políticas Públicas, Volume III, nº 1-2, 2002, pp. 82-94.

Cunha, Manuela et al (2001). O papel das tecnologias de informação na promoção da qualidade nos serviços públicos. XI Jornadas Hispanolusas de Gestión Científica, Cáceres, Febrero de 2001.

Dearlove, Des (2000). Key Management Decisions – Tools and techniques of executive decision-maker. Pearson Education Ltd.

Faria, Alexandre (2002). A qualidade dos serviços prestados ao público: a experiência

internacional da “The Quality Assurance Company”. RAPP – Revista de Administração e Políticas Públicas, Volume III, nº 1-2, 2002, pp. 206-213.

Juran, J. M. (2001). Por qué fracasan las iniciativas de la calidad. Harvard Deusto business review, Nº Extraordinario 1, pp. 170-174.

Leite, Denise et al (2000). Inovação e Avaliação na Universidade: Impacto e Mudança. Porto Alegre: UFRGS (Vol. 3, Relatório de Pesquisa).

Mano, Margarida (2003). O processo de certificação da Administração da Universidade

de Coimbra. Administração da UC 2003.

Mendes, Manuel V. (2002). Contributo para um Modelo de Avaliação do Desempenho.

RAPP – Revista de Administração e Políticas Públicas, Volume III, nº 1-2, 2002, pp. 196-205.

Michavila, Francisco y Calvo, Benjamín (1998). La Universidad Española Hoy – Propuestas para una política universitaria. Editorial Síntesis, SA. Madrid.

Moreira, Adriano (2001). O Desafio da Avaliação do Ensino Superior. Conselho Nacional de Avaliação do Ensino Superior.

Norverto Laborda, Maria del Carmen et al (2003). Reporting de las instituiciones universitarias. Revista AECA, nº 62, Enero – Abril.

Orvalho Silva, José (2000). Qualidade, Cidadania e Modernização Administrativa. RAPP – Revista de Administração e Políticas Públicas, Volume I, nº 1, 2000, pp. 106-111.

Parker, L.D. (2002). It’s been a pleasure doing business with you: a strategic analysis

and critique of university change management. Critical Perspectives on Accounting, Volume 13, Nº 5-6, October-December 2002, pp. 576-602.

Pile, Marta e Teixeira, Isabel (1995). Avaliação das Universidades: a Experiência do IST.

http://gep.ist.utl.pt/comunica.htm (Dezembro 2003).

Ramos Pires, A. (2000). Sistemas de Gestão da Qualidade. Edições Sílabo, Lda.Lisboa.

Rodrigues da Rocha, José (2002). Que política de qualidade no ensino universitário.

RAPP – Revista de Administração e Políticas Públicas, Volume III, nº 1-2, 2002, pp. 154-162.

Rodríguez Castellanos et al (2001). La Gestión del Conocimiento Científico-Técnico en la Universidad: un caso y un proyecto. Cuadernos de Gestión, Vol. I, Nº 1, Febrero 2001, pp. 13-30.

Santiago, Rui et al (2002). Avaliação Institucional e Aprendizagem Organizacional nas Universidades: os Dilemas da Adaptação ou da Reconstrução sob Pressão do

“Managerialismo”. Rapp – Revista de Administração e Políticas Públicas, Volume III, nº 1-2, pp. 54-65.

Santiago, Rui et al (2002). Relatório do Projecto sobre a Avaliação, Auto-Análise Institucional e Gestão das Universidades em Portugal e no Brasil. UFRGS/CNPq.

Saraiva, Pedro et al (2000). ISO 9000 para Instituições de Ensino e Formação – Guia Interpretativo para aplicação da Norma NP EN ISO 9001 a Instituições de Ensino e Formação. Lisboa: Instituto Português da Qualidade.

Souza Freire, Fátima et al (2003). Um Método Quantitativo para Avaliação da Satisfação dos Clientes. Revista de Contabilidade e Finanças da USP (Brasil), Ano XIV, Nº 31 – Janeiro/Abril, pp. 7-15.

Vieira Mendes, Manuel (2002). Contributo para um modelo de avaliação do desempenho.

RAPP – Revista de Administração e Políticas Públicas, Volume III, nº 1-2, 2002, pp. 196-205.

Veiga Simão et al (2003). Ensino Superior: Uma Visão para a Próxima Década. Gradiva Publicações, Lda. Lisboa.

Os sistemas de gestão da qualidade nas instituições de ensino superior – 2ª parte

Auditoria Interna Janeiro/Março 2007 Nº 26 10

Introdução

o contexto actual em que a mudança é uma

constante, os accionistas têm vindo a reclamar

maior transparência sobre os riscos que as

organizações enfrentam.

Há um reconhecimento crescente de que coordenar

proactivamente e de forma integrada todos os riscos é

fundamental para alcançar o sucesso (Walker et al., 2003), pelo

que as abordagens tradicionais de gestão de risco já não são

suficientes.

Tradicionalmente, assiste-se a uma gestão de riscos informal e

descentralizada, onde cada área da organização gere os seus

próprios riscos. A descentralização da gestão de riscos em cada

uma das unidades de negócio pode ajudar a criar uma

consciência de prevenção de riscos na organização.

Contudo, a longo prazo a centralização e formalização de um

processo de gestão de risco facilita uma visão global dos

diferentes riscos e suas interdependências, pelo que o caminho

natural do processo de gestão de risco é aquele que leva a uma

maior centralização da função, até chegar à gestão integrada dos

riscos.

Uma abordagem integrada de gestão de risco representa, de

acordo com Busman & Zuiden (1998), um processo dinâmico

para optimizar o nível de risco que as organizações assumem em

busca dos objectivos.

Mais do que se concentrar em riscos ao acaso, a abordagem

integrada procura implementar processos consistentes que

considerem todos os eventos que podem afectar adversamente

as empresas.

É neste contexto que surgiu a Gestão de Risco Empresarial

(ERM – Enterprise Risk Management) como um novo paradigma

na gestão do risco do negócio.

Conceito de Gestão de Risco Empresarial (ERM)

No contexto actual em que a natureza dos riscos que as

organizações enfrentam muda rapidamente, os métodos

utilizados para gerir os riscos também mudam, pelo que é

previsível que as empresas sigam incorporando

progressivamente a gestão de riscos na sua organização até

chegar a uma gestão centralizada e integral. Desta forma, muitas

das maiores organizações internacionais estão a instituir uma

cultura de risco para a implementação com sucesso do processo

de ERM, cujo conceito passamos a abordar.

De acordo com Fuente & Vega (2003), o conceito de ERM vem

representar um passo mais além da centralização da função de

riscos, pois aquilo que se pretende é integrar a gestão

especializada dos distintos riscos numa única visão que abarque

todas as interdependências ou seja, as correlações dos

diferentes riscos, com o objectivo de resumir o risco total da

organização num único número e construir a partir desse número

uma única estratégia de cobertura.

Para Zárate (2001), esta nova abordagem constitui uma

ferramenta de gestão moderna, fundamental para a

implementação de uma cultura orientada para a criação de valor

para o accionista, que dinamiza a gestão e proporciona novos

elementos para a tomada de decisões. Apesar de existirem

diferentes modelos de ERM, muitos concordam que se trata de

uma abordagem que deverá estar alinhada com a gestão

estratégica da organização, sua visão, missão e objectivos, com

enfoque em novas metodologias de gestão e optimização dos

riscos de maior importância, opinião partilhada por Sharman

(2002) e Rucker (referido por Chapman, 2001). Desta forma,

ERM assume relevância no contexto do futuro das organizações,

e não apenas na sua posição actual.

Para Funston (2003), ERM é fundamentalmente um

processo de transformação que altera a forma como as

organizações gerem o risco, permitindo às organizações

avaliar os riscos de forma continuada e identificar as

medidas a tomar e os recursos a alocar na mitigação do

risco.

N

A abordagem integrada procura implementar processos consistentes que considerem todos os eventos que podem afectar adversamente as empresas. É neste contexto que surgiu a Gestão de Risco Empresarial (ERM – Enterprise Risk Management) como um novo paradigma na gestão do risco do negócio.

GESTÃO DE RISCO GESTÃO DE RISCO GESTÃO DE RISCO GESTÃO DE RISCO –––– DA ABORDAGEM TRADICIONAL À DA ABORDAGEM TRADICIONAL À DA ABORDAGEM TRADICIONAL À DA ABORDAGEM TRADICIONAL À

GESTÃO DE RISCO EMPRESARIAL (ERM)GESTÃO DE RISCO EMPRESARIAL (ERM)GESTÃO DE RISCO EMPRESARIAL (ERM)GESTÃO DE RISCO EMPRESARIAL (ERM)

Nuno Castanheira, Auditor Interno no Montepio, Mestrando em Contabilidade e Auditoria (UM) Lúcia Lima Rodrigues, Professora Associada da Universidade do Minho,

Auditoria Interna Janeiro/Março 2007 Nº 26 11

Deloach (referido por Chapman, 2001) salienta que ERM é um

processo que eleva a gestão de risco organizacional de forma a

tornar-se numa arma estratégica, melhorando a capacidade da

organização em construir a gestão de risco.

De acordo com Matyjewicz & D´Arcangelo (2004), ERM é um

processo estruturado, consistente e contínuo ao longo de toda a

organização para identificar, avaliar e reportar internamente as

oportunidades e ameaças que afectam a concretização dos

objectivos da organização.

Olhando de uma forma holística para todos os riscos que a

organização enfrenta e considerando a forma como os mesmos

afectam a concretização dos objectivos, ERM surgiu como uma

metodologia que permite os melhores ganhos a baixos custos, tal

como salienta Chapman (201).

A principal diferença entre o processo de ERM e as outras

formas tradicionais de gestão de risco é que o processo de ERM

adopta uma perspectiva que coordena a gestão de risco ao longo

de toda a organização, em vez de cada área da organização gerir

os seus próprios riscos (Banham, 2004). O quadro seguinte

apresenta as principais diferenças entre o processo de ERM e a

abordagem tradicional de gestão de risco.

ver quadro I

Quadro 1: Abordagem tradicional da Gestão de Risco versus ERM: principais diferenças

Gestão de Risco tradicional ERM

Risco tratado individualmente Risco no contexto da estratégia do negócio

Identificação e avaliação do risco Desenvolvimento de um portfolio de risco

Enfoque em riscos discretos Enfoque nos riscos críticos

Mitigação de risco Optimização de risco

Limites de risco Estratégia de risco

Responsabilidades de risco por definir Responsabilidades de risco definidas

Quantificação do risco Monitorização e avaliação do risco

“Risco não é da minha responsabilidade” “Risco é da responsabilidade de todos”

Fonte: Elaborado a partir de Banham (2004:68) Implementação do processo de Gestão de Risco Empresarial (ERM)

Deloach (referido por Chapman, 2001) salienta que ERM

é um processo que resulta da estratégia da organização,

objectivos, culturas, “apetite de risco”1 e recursos

disponíveis, pelo que não existe uma abordagem que

seja aplicável a todas as organizações. O framework

COSO de ERM fornece as linhas de orientação para a

implementação e desenho do processo de ERM em

qualquer organização.

De acordo com o COSO (2004), há um relacionamento

directo entre os objectivos, que é aquilo que as

organizações pretendem alcançar, e as componentes de

gestão de risco, que representam os meios para alcançar

os referidos objectivos. No que respeita aos objectivos,

existem quatro categorias que podem ser ameaçados

pelos riscos, concretamente os objectivos estratégicos,

operacionais, reporte e conformidade.

Para fornecer uma segurança razoável de que tais

objectivos são alcançados, o COSO (2004) identifica oito

componentes relacionados entre si que permitem um

efectivo processo de gestão de risco, nomeadamente

ambiente interno; fixação de objectivos; identificação de

eventos; avaliação do risco; mitigação dos riscos;

actividades de controlo; informação e comunicação e, por

fim, o acompanhamento.

De acordo com Mandel (2003), para que o processo de

ERM seja verdadeiramente efectivo, deve focalizar-se nos

assuntos internos e externos; focalizar-se nos processos;

minimizar a complexidade, usando modelos e métricas

simples; desenvolver um modelo que indique claramente

quem é responsável por ERM e quem controla o

processo de implementação e, finalmente, visualizar o

processo em sistemas horizontais e verticais. 1 Tradução livre da expressão Risk appetite – significa o nível de

risco aceite pela organização.

Berry & Phillips (1998), salientam que o ponto-chave que

se deve recordar sempre no desenvolvimento de um

processo de ERM é que o mesmo se determina a partir

do negócio e não a partir de um checklist de exposições

ao risco.

Funston (2003) partilha da opinião que o processo de

ERM começa com a avaliação do ambiente em que a

organização actua, a sua estratégia para alcançar os

objectivos, a cultura da organização e o apetite de risco.

Gestão de risco – da abordagem tradicional à gestão do risco empresarial (ERM)

Auditoria Interna Janeiro/Março 2007 Nº 26 12

Assim, conhecer o ambiente externo em que opera a

organização, conhecer os objectivos e a estratégia do

negócio é um passo essencial para conhecer as

condições do negócio e a natureza dos riscos que a

organização enfrenta.Uma vez que cada organização é

única em termos estruturais, culturais e operacionais,

predefinir uma lista de riscos para diferentes entidades

não é mais do que tentar identificar os riscos próprios da

actividade. Assim, o processo de ERM inicia-se com a

identificação e priorização numa base consistente de

todos os riscos enfrentados pela organização. Numa

segunda fase, segue-se a avaliação e mitigação dos

principais riscos, sendo que os mesmos devem ser

priorizados atendendo à sua probabilidade, ao valor

actual do seu impacto e à qualidade dos controlos já

implementados.

Por último, o passo final no processo de ERM é a monitorização

contínua dos riscos, quer sejam novos ou já previamente

identificados. A figura seguinte (fig. 1) constitui um exemplo das

fases do processo de ERM.

Figura 1: O Processo de Gestão de Risco Empresarial (ERM) ______________________________________________________________________________________

_______________________________________________________________________________________

Fonte: Elaborado a partir de Funston (2003:61) Em suma, o processo de ERM assume-se como uma

ferramenta fundamental para assegurar com

razoabilidade a concretização dos objectivos estratégicos.

Não obstante, importa salientar a existência de alguns

obstáculos à implementação de um processo eficaz de

ERM.

É quase redundante dizer que qualquer organização

necessita de um forte clima ético, uma madura

cultura de risco ou uma cultura de conformidade

para a implementação com sucesso de ERM.

São múltiplos os estudos desenvolvidos que

identificaram a cultura das organizações como uma

das principais barreiras à implementação de ERM,

tal como salienta Kimbrough (referido por Jackson,

2005).

Maturidade de Gestão de Risco Empresarial (ERM)

Não obstante o processo de ERM tenha surgido como

uma ferramenta fundamental para a gestão estratégica do

negócio, verifica-se que nem todos os sectores

empresariais apresentam o mesmo nível de maturidade

de gestão de risco.

De acordo com Zárate (2001), a gestão de riscos só tem

um nível aceitável de desenvolvimento nos sectores

financeiro e segurador.

Nos restantes sectores, a gestão de riscos reduz-se,

basicamente, a uma cobertura daqueles riscos

relacionados com a responsabilidade ou com a

integridade dos activos. Fuente & Vega (2003) partilham

da opinião de que a gestão dos riscos em empresas não

financeiras caracteriza-se pela ausência de um conjunto

de técnicas que permitam gerir os riscos próprios da sua

actividade.

De acordo com Alzuela (2003), a gestão de riscos nas

entidades financeiras evoluiu muito tecnicamente nos

últimos anos, pois o crescimento do mercado, a que se

associa o aparecimento de novos produtos e a maior

possibilidade de acesso ao crédito por parte das

economias, produz a necessidade de contar com

sistemas/ferramentas que permitam a gestão dos riscos

de modo mais eficiente.

IIddeennttiiffiiccaaççããoo ddoo RRiissccoo

MMoonniittoorriizzaaççããoo ee mmeellhhoorriiaa ccoonnttíínnuuaa

IInnffoorrmmaaççããoo ee CCoommuunniiccaaççããoo

MMiittiiggaaççããoo ddoo RRiissccoo ee

AAccttiivviiddaaddeess ddee CCoonnttrroolloo

AAvvaalliiaaççããoo ddoo RRiissccoo

AAmmbbiieennttee ee EEssttrraattééggiiaa

Gestão de risco – da abordagem tradicional à gestão do risco empresarial (ERM)

Auditoria Interna Janeiro/Março 2007 Nº 26 13

Adicionalmente, a regulação tem um papel de extrema

importância na maturidade de gestão de risco. Por

exemplo, na actividade bancária a maturidade de gestão

de risco não é alheia ao incremento do risco operacional,

que motivou a que o BCBS2 publicasse recentemente um

documento formal com normas específicas de gestão do

risco operacional, que deverão ser atendidas pela

actividade bancária e que vêm incentivar os Bancos a

fortalecer os sistemas de controlo e gestão de risco.

Engle (2005) também partilha da opinião que a gestão de

risco ganha mais importância com a regulação, dando

como exemplo o Sarbanes-Oxley Act. 2 BCBS – Basle Committee on Banking Supervision

Grupo de trabalho constituído por vários bancos centrais

e entidades de supervisão bancária.

Conclusão

Num quadro marcado pelo forte crescimento e

complexidade dos riscos que as organizações enfrentam,

a definição de “corporate risk” expandiu-se para incluir

não só os riscos financeiros mas todos os riscos do

negócio.

Adicionalmente, é de reconhecimento crescente que uma

gestão de risco bem sucedida significa uma abordagem

formal para gerir sistematicamente os principais riscos de

cada unidade de negócio, assim como identificar e gerir

os novos riscos que surgem à medida que o negócio

evolui.

Como resultado, muitas empresas começam a reconhecer a

necessidade de implementar um processo de ERM, ao mesmo

tempo que reconhecem que a introdução de uma forte cultura de

gestão de risco na organização pode melhorar a eficácia da

gestão de risco.

Por outro lado, constata-se que as empresas financeiras, face à

natureza dos riscos a que estão sujeitas e à regulação que

devem atender, apresentam níveis de maturidade de gestão de

risco mais avançados que as empresas não financeiras.

A transição de uma abordagem tradicional de gestão de risco

para um processo dinâmico que integra e coordena a gestão de

risco ao longo de toda a organização, representa uma ameaça e

ao mesmo tempo uma oportunidade para os gestores de risco

tradicionais.

A ameaça é que a função tradicional de gestor de risco é

absorvida por uma função estratégica criada pela gestão de

topo. A oportunidade será aplicar princípios e ferramentas

tradicionais de gestão de risco ao framework de riscos da

organização, pois apesar da transição para um processo de

centralização de gestão de riscos, há ferramentas e princípios

tradicionais que continuam a ser válidos e adequados para uma

eficiente gestão integrada de riscos.

Em suma, desenvolver um processo formal de gestão de risco

reduz o tempo de reacção das empresas, cria uma cultura de

risco positiva e melhora continuamente o processo de mitigação

de risco.

REFERÊNCIAS BIBLIOGRÁFICAS

o Alzuela, J. M. B. (2003), “La gestión de riesgos en

entidades financieras”, Partida Doble, Diciembre: 62-65.

o Banham, R. (2004), “Enterprising views of risk

management”, Journal of Accountancy, Jun: 65-71.

o BCBS - Basel Committee on Banking Supervision

(2003), “Sound Practices for the Management and

Supervision of Operational Risk. Background”, BCBS.

o Berry, A. & Phillips, J. (1998), “Pulling it together”,

Risk Management, Sep: 53-58.

o Busman, E. R. & Zuiden, P. V. (1998), “The challenge

ahead: adopting an enterprise-wide approach to risk”,

Risk Management, Jan: 14-17.

o Chapman, Christy (2001), “The big picture”, The Internal Auditor, Jun: 30-37.

o COSO - Committee of Sponsoring Organizations of the

Treadway Commission (2004), “Enterprise Risk

Management – Integrated Framework”, COSO.

o Engle, P. (2005), “Managing Risk”, Industrial Engineer, May: 22.

o Fuente, L. & Vega, G (2003), “La gestión de riesgos en

empresas no financieras”, Partida Doble, Diciembre: 54-60.

o Funston, R. (2003), “Creating a risk-intelligent

organization”, The Internal Auditor, April: 59-63.

o Jackson, R. A. (2005): “Role Play”, The Internal Auditor, Apr: 44-51.

o Mandel, C. E. (2003), “COSO gives a good start to

implement ERM”, Business Insurance, December: 12.

o Matyjewicz, G. & D´Arcangelo, J. R. (2004), “ERM-

based auditing”, The Internal Auditor, Nov/Dec: 4-18.

o Sharman, R. (2002), “Enterprise risk management –

the KPMG approach”, The British Journal of Administrative Management, May/Jun: 26-28.

o Walker, P. L., Shenkir, W. G. & Barton, T. L. (2003),

“ERM in practice”, The Internal Auditor, Aug: 51-55.

o Zárate, F. C. O (2001), “La gestión de riesgos: un

enfoque práctico”, Partida Doble, Julio-Agosto: 64-76.

Gestão de risco – da abordagem tradicional à gestão do risco empresarial (ERM)

Auditoria Interna Janeiro/Março 2007 Nº 26 14

s empresas vivem da qualidade e do controlo dos

processos mais nevrálgicos para a prossecução da

estratégia a alcançar: ganhar dinheiro (ter lucro não

serve para pagar dividendos ou ordenados) e, numa

lógica mais universal, exercer a gestão em observância dos

princípios éticos e de responsabilidade e do desenvolvimento

sustentável.

No contexto de riscos negativos ao desenvolvimento da

estratégia empresarial, a auditoria interna desempenha um

papel crucial, sendo tal facto realçado nas normas da

qualidade (ISO 9000, ISO 14000), consubstanciado no

conceito de auditoria “ferramenta de gestão para monitorização

e verificação da implementação eficaz da política da qualidade

e/ou ambiente da organização”.

A transposição da OSHAS 18001 (NP 4397) –

Segurança e saúde no trabalho, reforça o papel da

auditoria no âmbito do sistema de gestão integrado da

qualidade, permitindo uma visão mais integradora da

empresa.

A EN ISO 19001 traça as “linhas de orientação para

auditoria a sistemas de qualidade e /ou gestão

ambiental”, estabelecendo os seguintes eixos

estratégicos:

• Campo de aplicação; • Referências normativas; • Termos e definições; • Princípios de auditoria; • Gestão de um programa de auditorias; • Actividade da auditoria; • Competência e a avaliação de auditores.

Para permitir uma análise comparativa com as Normas

para a Prática Profissional da Auditoria Interna, do

IIA/IPAI, destaco, em síntese, os princípios de

auditoria identificados na ISO 19011:

• Conduta ética (confiança, integridade, confidencialidade e descrição);

• Apresentação imparcial (obrigação de relatar com verdade e rigor);

• Devido cuidado profissional (aplicação de diligência e de discernimento);

• Independência (base para a imparcialidade e objectividade das conclusões);

• Abordagem baseada em evidências (método racional para chegar a conclusões fiáveis e reprodutíveis).

A gestão do programa de auditorias é estruturada no princípio básico seguinte:

• P – Planear (Plan)

• D –Executar (Do)

• C – Verificar (Check);

• A – Actuar (Act)

Esquematicamente, a gestão de um programa de auditoria, assenta:

• Autoridade sobre o programa de auditoria;

• Estabelecimento de programa de auditoria;

• Implementação do programa de auditorias;

• Monitorização e revisão do programa de auditoria.

Os objectivos de um programa de auditorias são definidos em função das seguintes variáveis:

• Riscos existentes nas empresas;

• Prioridades da gestão

• Extensão das auditorias;

• Responsabilidades, recursos e procedimentos existentes;

• Capacidade de implementar o programa;

• Registos anteriores (planos, relatórios, relatórios de não conformidade, relatórios de acções correctivas e preventivas);

• Monitorização e revisão.

A execução das auditorias implica a realização de reunião de abertura com os seguintes objectivos.

• Confirmar o plano com os auditados; • Apresentar a metodologia da auditoria; • Confirmar os canais de comunicação; • Proporcionar ao auditado a possibilidade de colocar

dúvidas ou questões sobre a auditoria; • Definição do idioma.

A

Auditoria interna Auditoria interna Auditoria interna Auditoria interna –––– fornecer fornecer fornecer fornecer valorvalorvalorvalor Joaquim Leite Pinheiro, Director da revista Auditoria Interna IPAI joaquim.l.pinheiro@sapo.pt; jleitepinheiro@gmail.com

No contexto de riscos negativos ao desenvolvimento da estratégia empresarial, a auditoria interna desempenha um papel crucial.

Auditoria Interna Janeiro/Março 2007 Nº 26 15

No que se refere à emissão do relatório de auditoria realça-se:

• Deverá indicar os principais tópicos; • Deverá fornecer os objectivos da auditoria; • Deverá referir o âmbito e as direcções intervenientes; • Deverá indicar o período de realização da auditoria; • Deverá identificar a equipa e coordenador; • Deverá fornecer os critérios utilizados na auditoria; • Deverá fornecer as constatações da auditoria; • Deverá ser elaborada uma conclusão sobre a

auditoria.

No relatório poderá ser incluída outra informação, nomeadamente:

• O plano de auditoria; • Os nomes dos representantes dos auditados; • Resumo do processo de auditorias e

constrangimentos encontrados; • Áreas não cobertas; • Opiniões divergentes do auditado; • Recomendações para melhoria; • Planos de acção de seguimento; • Declaração de confidencialidade dos conteúdos; • Lista de distribuição.

No que se refere ao auditor a norma estipula:

ATRIBUTOS PESSOAIS

• Ética (o auditor deverá ser justo, verdadeiro, sincero, honesto e discreto);

• Espírito aberto (o auditor deverá estar disposto a considerar ideias ou pontos de vista alternativos)

• Diplomata (o auditor deverá ter tacto no relacionamento);

• Observador (o auditor deverá ser activamente consciente do meio físico envolvente e das actividades);

• Perceptivo (o auditor deverá estar instintivamente atento e capaz de compreender as situações)

• Versátil (o auditor deverá ser capaz de se ajustar prontamente a diferentes situações).

• Tenaz (o auditor deverá ser persistente, focalizado nos objectivos a atingir);

• Decidido (o auditor deverá ser capaz de alcançar conclusões oportunas baseadas em raciocínio lógico e em análise de factos)

• Autoconfiante (o auditor deverá agir e funcionar de forma independente enquanto interage com os outros).

CONHECIMENTOS E COMPETÊNCIAS

Conhecimentos genéricos:

O auditor deverá conhecer: • Os princípios, procedimentos e técnicas de auditoria; • O sistema de gestão de documentos; • As situações organizacionais; • A legislação, regulamentação e outros requisitos

necessários à execução da auditoria.

Conhecimentos específicos e ambientais:

O auditor deverá conhecer o Sistema de Gestão de Qualidade (SGQ), relacionado com os métodos e técnicas relacionadas com a qualidade e com os processos e os produtos;

O auditor deverá conhecer o Sistema de Gestão Ambiental (SGA) no que se refere a métodos e técnicas de gestão

ambiental, ciência e tecnologia do ambiente e os aspectos técnicos ambientais mais relevantes.

Outros aspectos:

O auditor deverá perseguir o desenvolvimento profissional contínuo (manutenção e melhoria dos conhecimentos, a melhoria das competências e atributos pessoais, que passa, essencialmente, pela formação, pela autoformação e participação em encontros, seminários e conferências.

Síntese: Comparabilidade entre a “Norma” IIA e a ISO 19011:

CONCEITO DE AUDITORIA;

ISO19011:

“Processo sistemático, independente e documentado para obter evidência de auditoria (registos, afirmações factuais ou outra informação, que sejam verificáveis e relevantes para os critérios de auditoria - qualitativa ou quantitativa) e respectiva avaliação objectiva com vista a determinar em que medida os critérios de auditoria (conjunto de políticas, procedimentos ou requisitos) são satisfeitos.” Página 8 de 39, ponto 3.1

NORMA IIA/IPAI

“Actividade independente, de avaliação objectiva e de consultoria, destinada a acrescentar valor e a melhorar as operações de uma organização. Assiste a organização na consecução dos seus objectivos, através de uma abordagem sistemática e disciplinada, na avaliação da eficácia dos processos de gestão de risco, controlo e governação”.

o

Em termos de síntese:

ISO 19011 Norma IIA/IPAI

As normas dividem-se em:

Normas Funcionais (NF)

Normas de Desempenho (ND)

Normas de Implementação (desenvolvem-se em torno das NF e ND, visando estabelecer orientações aplicáveis a casos específicos de auditoria.

Princípios:

Conduta ética Código de ética

Apresentação imparcial

Devido cuidado profissional

Independência Independência e objectividade

Evidências Proficiência e adequado sentido profissional

Avaliação de qualidade e programa de aperfeiçoamento

Gestão de um programa de auditoria

2000 Gestão da actividade da auditoria interna

2100 Natureza do trabalho

2200 Planeamento da auditoria

2300 Execução do trabalho programado

2400 Comunicação de resultados

2500 Monitorização do progresso (Follow-up)

o

Auditoria interna – fornecer valor

Auditoria Interna Janeiro/Março 2007 Nº 26 16

DESENVOLVIMENTO DO GUIA

COSO estudou o Controlo Interno e a Gestão de Risco por mais de 20 anos. Desta pesquisa resultaram duas firmes conclusões: Um bom

controlo interno é parte integral das organizações bem sucedidas, e todas as organizações podem atingir um controlo interno efectivo. O compromisso com o controlo interno é uma questão de prioridade das organizações, não uma questão de recursos. No desenvolvimento do Guia para organizações de dimensão menor, a equipa reunida pelo COSO analisou numerosas pequenas companhias cotadas em bolsa com um controlo interno efectivo. Com base nesta análise, a equipa tomou várias decisões chave:

• O Guia deve clarificar o Internal Control – Integrated Framework publicado em 1992, sem contudo representar uma extensão ou substituição daquele.

• Todos os exemplos devem ser retirados de organizações de menor dimensão cotadas em bolsa.

• O Guia deverá ser baseado em princípios, e por isso sujeito ao julgamento da Gestão.

Embora cada um destes itens represente um elemento chave do Guia, a ideia de uma abordagem baseada em princípios, foi considerada fundamental para o sucesso do projecto. Durante as suas deliberações, os elementos da equipa despenderam bastante tempo a discutirem a natureza do controlo interno, os requisitos da secção 404 da Sarbanes – Oxley, o ambiente litigioso dos EUA, e os requisitos regulatórios.

O

CONTROLO INTERNO: Ser pequeno não

interessa A ajuda para os pequenos negócios chegou na forma da

última orientação da COSO sobre o controlo interno do

reporte financeiro. LARRY E. RITTENBERG, PHD, CIA – Professor de Contabilidade da Ernst&Young, Chairman da Universidade de Wisconsin COSO (Com a Colaboração de MILES EVERSON, CPA, Partner, PricewaterhouseCoopers e COSO Project Team Leader, and FRANK MARTENS, CA, Director, PricewaterhouseCoopers e COSO Project Director) Tradução do Internal Auditor de Outubro de 2006, por Mário Carvalho, Técnico de Gestão do Risco da Sonae Distribuição

Em 11 de Julho de 2006, o Committee of Sponsoring Organizations of the Treadway Commission (COSO) lançou a sua nova publicação, Internal Control Over Financial Reporting – A Guidance for Smaller Public Companies. Este Guia foi desenvolvido em resposta a um pedido do Director de Contabilidade do U.S. Securities and Exchange Commission´s (SEC), para ajudar as empresas de menor dimensão cotadas em bolsa, a cumprir com as suas obrigações de reporte ao abrigo da Section 404 da lei de Sarbanes – Oxley de 2002 dos EUA. Este Guia é construído sobre o Internal Control – Integrated Framework publicado em 1992 pelo COSO, embora não modifique ou substitua o guia original.

Este novo Guia foi desenvolvido tendo em conta os desafios específicos enfrentados pelas empresas cotadas de menor dimensão. Mas como foi desenvolvido a partir do Integrated Framework de 1992, os princípios subjacentes a este novo Guia são aplicáveis a organizações de todos os tipos e tamanhos. O documento foca áreas, que podem ser especialmente difíceis para a Gestão de pequenos negócios, incluindo tecnologias de informação, segregação de funções, recrutamento de membros para o Conselho de Administração e Comité de Auditoria, o risco de subversão dos controlos por parte da Gestão, e a extensão da documentação necessária para aferir a qualidade dos controlos internos. O COSO reconhece que muitas organizações de menor dimensão possuem um controlo interno efectivo sobre o reporte financeiro, mas podem enfrentar factores de escala, tais como, o nível certo de competência financeira ou o uso de tecnologias de informação para assegurar as questões de segregação de funções.

O Guia é composto por três volumes – cada um com um propósito diferente. O volume I apresenta uma visão de alto nível, destinado à Gestão de Topo e Conselhos de Administração, enquanto o volume II apresenta exemplos de aplicações práticas na vida real, implementadas em organizações de “pequena dimensão”. O terceiro volume fornece ferramentas e metodologias de avaliação, para ajudar as organizações a implementar e avaliar o seu controlo interno sobre o reporte financeiro.

Este documento foi desenvolvido sob a orientação de uma equipa de projecto da PricewaterhouseCoopers LLP, em cooperação com a maior equipa jamais reunida pelo COSO. Todas as partes envolvidas possuíam um conhecimento profundo sobre empresas cotadas de menor dimensão e dos Frameworks de Controlo Interno e Gestão de Risco do COSO. O Guia foi desenhado para ajudar a Gestão a projectar e implementar um controlo interno efectivo sobre o reporte financeiro. Porque os auditores internos são usualmente os líderes do controlo interno na sua organização, também os ajudará a fornecer essa liderança.

Auditoria Interna Janeiro/Março 2007 Nº 26

17

A equipa do COSO, desenvolveu 20 princípios fundamentais do controlo interno, derivados directamente do Internal Control – Integrated

Framework de 1992.

O COSO espera que o seu novo Guia, através da articulação mais clara dos princípios e atributos subjacentes ao Internal Control – Integrated

Framework de 1992, seja útil para todas as organizações – não apenas para empresas cotadas de menor dimensão.

Alguns elementos questionaram se a Gestão poderia fazer julgamentos informados acerca dos controlos internos, quando todas as decisões poderiam ser postas em causa por diversos grupos, desde auditores a advogados. Contudo, a equipa concluiu que fazer julgamentos constitui parte integrante do trabalho de um gestor, e que indivíduos informados podem e devem fazer julgamentos defensáveis acerca dos controlos internos a implementar. Em última análise, os gestores devem decidir se os controlos da organização são, no seu todo, desenhados e implementados de maneira a atingir um controlo interno efectivo sobre o reporte financeiro. Este Guia ajuda a Gestão, os auditores externos e internos, e outros grupos a tomar estas decisões. De acordo com o Guia, na escolha de determinado controlo, devem ser tidos em conta três factores: � Se reduz o risco para um nível aceitável. � A sua efectividade em termos de custo. � A sua contribuição para um dos cinco componentes

para um controlo interno efectivo do Internal Control – Integrated Framework, (ambiente de controlo, avaliação de riscos, actividades de controlo, informação e comunicação e monitorização).

O processo de tomada de decisão exige um julgamento por parte da gestão. O COSO acredita que o consenso em torno da efectividade dos controlos continuará a crescer, conforme as empresas ganham mais experiência na sua avaliação. Entretanto, o volume 3 do Guia inclui vários templates, que podem ajudar as empresas a desenhar e a implementar controlos internos efectivos sobre o reporte financeiro. Alguns destes templates são apresentados na forma de questionários e são baseados nos princípios fundamentais do controlo interno, explicitados no volume 2 do Guia.

UM PROCESSO, CONTÍNUO E INTEGRADO

O controlo interno efectivo não é um processo estático. Pelo contrário, é cumprido de forma constante, conforme as empresas refinam os seus objectivos de reporte, aumentam o seu entendimento dos riscos que possam ter impacto nesses objectivos, e implementam controlos para reduzir esses riscos para níveis aceitáveis. Os cinco componentes do Internal Control – Integrated Framework de 1992, em conjunto, ajudam as empresas a cumprir os seus objectivos de controlo interno, daí que todos estes componentes têm que estar presentes numa organização com controlos internos efectivos. O guia COSO para empresas cotadas de menor dimensão ilustra a relação lógica entre os cinco componentes – todas apontadas para a prossecução do objectivo de um reporte financeiro fiável.

Uma visão geral da natureza contínua do controlo interno é apresentada no diagrama “Controlo Interno: Um Processo Contínuo e Integrado”. O diagrama mostra como os cinco componentes do COSO se integram como um processo. Da relação lógica entre os cinco componentes resulta que uma organização deve:

Controlo Interno: Um Processo Contínuo e Integrado

Especificar Objectivos de reporte financeiro

Avaliação de Riscos

Ambiente de Controlo

Informação e Comunicação

Monitorização

Actividadesde Controlo

Especificar Objectivos de reporte financeiro

Avaliação de Riscos

Ambiente de Controlo

Informação e Comunicação

Monitorização

Actividadesde Controlo

• Especificar os seus objectivos de reporte financeiro,

que podem ser influenciados pelos requisitos regulatórios.

• Identificar e avaliar os riscos que podem impedir o cumprimento desses objectivos, tais como a subversão dos controlos por parte da Gestão, processamento de transacções inadequado e acréscimos e diferimentos inapropriados.

• Desenhar e implementar um ambiente de controlo que estabeleça o tom da organização e o seu compromisso para com as competências financeiras de mitigação do risco.

• Desenhar e implementar actividades de controlo específicas – incluindo autorizações, testes verificação de totalidade e reconciliações – de forma a mitigar ainda mais os riscos.

• Desenvolver um processo efectivo de informação e comunicação, que permita às partes relevantes entender as suas responsabilidades de controlo e assegure que a Gestão recebe um reporte atempado e relevante, que facilite uma investigação efectiva e a tomada de decisão.

• Monitorar a efectividade da implementação dos controlos.

Controlo interno: ser pequeno não interessa

Auditoria Interna Janeiro/Março 2007 Nº 26

18

Apesar desta sequência sugerir que uma organização deve começar sempre por definir os objectivos de reporte financeiro, o COSO reconhece que: • O controlo é um processo contínuo. • O grau de desenvolvimento de uma componente pode

afectar outras componentes (ex. um ambiente de controlo pouco desenvolvido pode permitir a subversão por parte da Gestão de actividades de controlo, que de outro modo seriam actividades robustas).

• A monitorização pode assumir mais importância se a organização já implementou processos, procedimentos e controlos robustos nas outras componentes.

• A avaliação final do controlo está relacionada com o cumprimento dos objectivos.

A relação lógica entre os componentes COSO foca a avaliação dos controlos internos pela organização no objectivo de reportes financeiros fiáveis e nos riscos para o cumprimento desses objectivos. A relação é útil tanto para as pequenas como para as grandes empresas, assim como para outras organizações encarregadas de avaliar a efectividade do controlo interno. Para além disso, reconhece ainda que a avaliação que a Gestão realiza todos os anos sobre a efectividade dos controlos internos pode – e deve ser – baseada em monitorizações regulares dos controlos, incluindo a identificação de riscos emergentes, que podem afectar o cumprimento dos objectivos da empresa.

PRINCÍPIOS DE UM CONTROLO EFECTIVO

A equipa do COSO desenvolveu 20 princípios fundamentais do controlo interno, derivados directamente do Internal Control – Integrated Framework de 1992 (Ver “Princípios Subjacentes a um Controlo Efectivo sobre Reporte Financeiro”). A equipa identificou também atributos específicos que estariam presentes no cumprimento dos princípios. O COSO considerava cada princípio como essencial para a implementação efectiva de cada uma das componentes do Internal Control – Integrated Framework de 1992. Os atributos correspondentes guiam ainda mais a Gestão e os auditores internos no desenho e implementação de um controlo interno efectivo. Por exemplo, a equipa COSO identificou três atributos associados com o primeiro princípio, Integridade e Valores Éticos: � Articula valores. A Gestão de topo desenvolve uma

declaração clara de valores éticos, capaz de ser compreendida por todos os níveis da empresa.

� Monitoriza a aderência. Estão implementados processos que monitorizam a aderência ao princípio de Integridade e Valores Éticos.

� Lida com os desvios. Os desvios à integridade e aos valores éticos da empresa são identificados em tempo útil e suficientemente endereçados e tratados nos níveis apropriados da organização. Estes atributos, assim como todos os outros princípios e atributos incluídos no Guia, são relativamente abertos. Por outras palavras, o Guia não especifica como é que a Gestão articula os seus valores e garante que estes são compreendidos pela organização. Pelo contrário, ele foca no cumprimento

dos princípios estabelecidos. A Gestão pode usar uma variedade de métodos para comunicar os seus valores, como discursos, webcasts, documentação afixada em locais sociais ou acordos formais assinados por cada colaborador.

Em última análise, os processos de negócio são dinâmicos e os controlos provavelmente mudarão à mediada que a empresa muda. É por essa razão, que os princípios e atributos mencionados no Guia são escaláveis. Embora o Guia inclua exemplos de como empresas de dimensões diferentes aplicam os princípios e atributos, cada organização deve decidir qual a melhor abordagem no seu caso específico e usar os atributos para guiar as suas decisões de controlo.

IMPLICAÇÕES PARA OS AUDITORES

O COSO tem constantemente reconhecido que a função de auditoria interna desempenha um papel fundamental no estabelecimento de um sistema efectivo de controlo interno. No Guia para empresas cotadas de menor dimensão, o reconhecimento deste papel mantém-se, reconhecendo no entanto que este papel pode ser desempenhado tanto por um departamento de auditoria interna como por serviços externos especificamente contratadas para esse efeito. Nalguns casos, a necessidade de subcontratar estes serviços pode ser maior nas pequenas empresas cotadas que não tenham atingido a dimensão suficiente para suportar um departamento de auditoria interna. O COSO também reconhece que o controlo interno não acaba no reporte financeiro. Para terem sucesso, as empresas precisam de atingir objectivos de controlo relacionados com as operações e com actividades de conformidade. O COSO acredita também que muitos dos princípios incluídos no Guia das pequenas empresas, aplicam-se a estas duas áreas de controlo, tornando-se assim úteis para os auditores internos na sua função de líderes do controlo interno na organização. Porque a função de auditoria interna há muito que reconheceu a inter relação das operações de negocio com as três dimensões do controlo, o COSO encoraja os auditores internos a ajudar a Gestão e os Conselhos de Administração a não esquecerem os objectivos operacionais e de conformidade. O Conselho do COSO acredita também que os auditores internos podem desempenhar um papel de liderança, ajudando as suas organizações a compreender e a lidar com a componente de monitorização, enquanto que a gestão mede a continuidade da efectividade dos controlos. O COSO espera que o seu novo Guia, através da articulação mais clara dos princípios e atributos subjacentes ao Internal Control – Integrated Framework de 1992, seja útil para todas as organizações – não apenas empresas de menor dimensão – no desenho, implementação e avaliação da efectividade dos controlos internos.

Controlo interno: ser pequeno não interessa Controlo interno: ser pequeno não interessa

Auditoria Interna Janeiro/Março 2007 Nº 26

19

O Conselho do COSO espera que, à medida que as empresas cumpram com os requisitos de reporte da Secção 404, nos primeiros anos, reconhecerão melhor a natureza contínua do controlo interno. A partir daí as empresas provavelmente atingirão uma maior eficiência através do fortalecimento da

componente de monitorização, podendo a função de auditoria interna guiar a organização através deste processo.

OLHANDO PARA O FUTURO

A função de auditoria interna desempenhou sempre um papel importante no desenvolvimento e avaliação do controlo interno nas suas organizações e os 20 princípios e 78 atributos do controlo interno do COSO ajudarão a função a manter a liderança nesta área. O Guia foi desenvolvido para ser utilizado por todos os tipos de departamentos de auditoria interna – seja no ambiente de negócios, governos, organizações não lucrativas e em pequenas e grandes organizações. Em qualquer cenário, os auditores deverão beneficiar deste Guia, orientado para o sucesso da organização. .

o

Actividades de Controlo12.Selecção e Desenvolvimento de Actividades de Controlo. As

actividades de controlo são seleccionadas e desenvolvidas tendo em conta o seu custo e potencial eficiência na mitigação dos riscos para os objectivos de reporte.

13. Politicas e Procedimentos. Existem, e são comunicadas através da organização, politicas relacionadas com o reporte financeiro fiável, com os correspondentes procedimentos, resultando na implementação das directivas da Gestão.

14. Tecnologias de Informação. Controlos sobre tecnologias de informação , onde aplicáveis, são projectados e implementados, para ajudar a o cumprimento dos objectivos de reporte financeiro.

Informação e Comunicação15. Informação de Reporte financeiro. Toda a informação financeira

pertinente é identificada, capturada, e utilizada a todos os níveis da organização, é também distribuída em forma e tempo útil, de maneira a suportar o cumprimento dos objectivos de reporte financeiro.

16.Informação de Controlo Interno. A informação utilizada para a execução de outros controlos internos, é identificada, capturada, e distribuída a tempo de permitir que os colaboradores levem a cabo as suas tarefas de controlo interno.

17.Comunicação Interna. A comunicação permite e suporta o entendimento, e a execução dos objectivos dos controlo internos, processos, e responsabilidades individuais a todos os níveis da organização.

18. Comunicação Externa. Assuntos que afectem o cumprimento dos objectivos de reporte financeiro, são comunicados às entidades externas apropriadas.

Monitorização19. Avaliações Continuas e Separadas. As avaliações contínuas e/ou

avaliações separadas (auditorias), permitem à Gestão, aferir da efectividade dos controlos internos implementados.

20. Deficiências de Reporte. As deficiências dos controlos internos são identificadas e comunicadas, em tempo útil, aos responsáveis pelas acções correctivas, à Gestão e ao Conselho, conforme apropriado.

Ambiente de Controlo1. Integridade e Ética. A integridade e os valores éticos, são

desenvolvidos e entendidos, particularmente por parte da Gestão de Topo, e determinam a conduta standard para o reporte financeiro.

2. Conselho de Administração. O Conselho compreende e exerce a sua responsabilidade de supervisão, sobre o reporte financeiro econtrolos internos relacionados.

3. Filosofia de Gestão e estilo Operacional. A filosofia de gestão e o estilo operacional, são um dos suportes para atingir um controlointerno efectivo sobre o reporte financeiro.

4. Estrutura Organizacional. A estrutura organizacional da empresa suporta a efectividade do controlo interno.

5. Capacidades de Reporte financeiro. A empresas retém indivíduos competentes na função do reporte financeiro, e nos papeis de supervisão relacionados com estes reportes.

6. Autoridade e Responsabilidade. São atribuídos à Gestão e demais colaboradores, níveis apropriados de autoridade e responsabilidade, de forma a facilitar o controlo interno sobre o reporte financeiro.

7. Recursos Humanos. As práticas e politicas dos recursos humanos estão projectadas e implementadas de forma a facilitar controlo interno efectivo sobre o reporte financeiro.

Avaliação de Riscos8. Objectivos de Reporte Financeiro. A Gestão especifica com

clareza os objectivos de reporte financeiro de forma a permitir a identificação de riscos para um reporte financeiro fiável.

9. Riscos do Reporte Financeiro. A organização identifica e analisa os riscos com potencial impacto no cumprimento dos objectivos dereporte, de forma a determinar a maneira como esses riscos devem ser geridos.

10.Risco de Fraude. A potencial fraude no reporte financeiro, éexplicitamente considerada, aquando da avaliação dos riscos para um reporte financeiro fiável.

Actividades de Controlo11.Integração com a Avaliação de Riscos. São definidos e

implementados planos de acções para gerir os riscos identificados.

Princípios Subjacentes a um Controlo Efectivo sobre Reporte Financeiro

Actividades de Controlo12.Selecção e Desenvolvimento de Actividades de Controlo. As

actividades de controlo são seleccionadas e desenvolvidas tendo em conta o seu custo e potencial eficiência na mitigação dos riscos para os objectivos de reporte.

13. Politicas e Procedimentos. Existem, e são comunicadas através da organização, politicas relacionadas com o reporte financeiro fiável, com os correspondentes procedimentos, resultando na implementação das directivas da Gestão.

14. Tecnologias de Informação. Controlos sobre tecnologias de informação , onde aplicáveis, são projectados e implementados, para ajudar a o cumprimento dos objectivos de reporte financeiro.

Informação e Comunicação15. Informação de Reporte financeiro. Toda a informação financeira

pertinente é identificada, capturada, e utilizada a todos os níveis da organização, é também distribuída em forma e tempo útil, de maneira a suportar o cumprimento dos objectivos de reporte financeiro.

16.Informação de Controlo Interno. A informação utilizada para a execução de outros controlos internos, é identificada, capturada, e distribuída a tempo de permitir que os colaboradores levem a cabo as suas tarefas de controlo interno.

17.Comunicação Interna. A comunicação permite e suporta o entendimento, e a execução dos objectivos dos controlo internos, processos, e responsabilidades individuais a todos os níveis da organização.

18. Comunicação Externa. Assuntos que afectem o cumprimento dos objectivos de reporte financeiro, são comunicados às entidades externas apropriadas.

Monitorização19. Avaliações Continuas e Separadas. As avaliações contínuas e/ou

avaliações separadas (auditorias), permitem à Gestão, aferir da efectividade dos controlos internos implementados.

20. Deficiências de Reporte. As deficiências dos controlos internos são identificadas e comunicadas, em tempo útil, aos responsáveis pelas acções correctivas, à Gestão e ao Conselho, conforme apropriado.

Ambiente de Controlo1. Integridade e Ética. A integridade e os valores éticos, são

desenvolvidos e entendidos, particularmente por parte da Gestão de Topo, e determinam a conduta standard para o reporte financeiro.

2. Conselho de Administração. O Conselho compreende e exerce a sua responsabilidade de supervisão, sobre o reporte financeiro econtrolos internos relacionados.

3. Filosofia de Gestão e estilo Operacional. A filosofia de gestão e o estilo operacional, são um dos suportes para atingir um controlointerno efectivo sobre o reporte financeiro.

4. Estrutura Organizacional. A estrutura organizacional da empresa suporta a efectividade do controlo interno.

5. Capacidades de Reporte financeiro. A empresas retém indivíduos competentes na função do reporte financeiro, e nos papeis de supervisão relacionados com estes reportes.

6. Autoridade e Responsabilidade. São atribuídos à Gestão e demais colaboradores, níveis apropriados de autoridade e responsabilidade, de forma a facilitar o controlo interno sobre o reporte financeiro.

7. Recursos Humanos. As práticas e politicas dos recursos humanos estão projectadas e implementadas de forma a facilitar controlo interno efectivo sobre o reporte financeiro.

Avaliação de Riscos8. Objectivos de Reporte Financeiro. A Gestão especifica com

clareza os objectivos de reporte financeiro de forma a permitir a identificação de riscos para um reporte financeiro fiável.

9. Riscos do Reporte Financeiro. A organização identifica e analisa os riscos com potencial impacto no cumprimento dos objectivos dereporte, de forma a determinar a maneira como esses riscos devem ser geridos.

10.Risco de Fraude. A potencial fraude no reporte financeiro, éexplicitamente considerada, aquando da avaliação dos riscos para um reporte financeiro fiável.

Actividades de Controlo11.Integração com a Avaliação de Riscos. São definidos e

implementados planos de acções para gerir os riscos identificados.

Princípios Subjacentes a um Controlo Efectivo sobre Reporte Financeiro

Controlo interno: ser pequeno não interessa

Auditoria Interna Janeiro/Março 2007 Nº 26 20

Exames de Certificação Novembro de 2007 Caros Associados, Informamos que as inscrições para os exames de certificação do IIA de Novembro 2007 decorrem até ao dia 21 de Setembro. Os associados interessados deverão contactar o IPAI (ipai@netcabo.pt) Telefone 213 151 002 Dr. Bombarda Azevedo. Salientamos que as certificações especializadas CCSA, CGAP e CFSA dispensam da realização da 4ª parte do CIA.

A Direcção do IPAI

Pagamento da quota de 2007, p.f. utilize o NIB do IPAI Após efectuar a transferência, por favor, informe o IPAI , pelo

Correio electrónico ipai@netcabo.pt, indicando as referências

e o número de sócio, para permitir a emissão do respectivo

recibo.

Caso deseje ser membro do IPAI , e após verificar que

preenche os pré-requisitos, descarregue o formulário,

preencha-o e p.f. envie por correio junto com uma foto tipo

passe e um cheque à ordem do IPAI – instituto português

de auditoria interna, no valor correspondente à sua inscrição.

(+ jóia: 20 Euros). Ver www.ipai.pt

NIB: 003300000001396510269

Banco: Millennium BCP – Conde Redondo

€ 52,00 Quota Anual; € 45,00 Subscrição da revista bimensal 'Internal Auditor', do IIA

II Fórum de Auditoria Interna 2007 Decorreu em Lisboa o II Fórum de Auditoria Interna em 19 de Junho de 2007, sob o tema “Partilha de Boas Práticas de Auditoria Interna”

Nesta 2ª edição do Fórum estivem presentes 103 participantes de 60 organizações, na

sua maioria responsáveis da função de Auditoria Interna.

O nível de satisfação dos participantes foi elevado, conforme resultados do questionário

efectuado.

Patrocínios

Auditoria Interna Janeiro/Março 2007 Nº 26 21

Mesa da sessão Aspecto da assistência

Novos CIA´s

Os primeiros CCSA´s portugueses

II Fórum de Auditoria Interna

Auditoria Interna Janeiro/Março 2007 Nº 26 22

Auditoria de SistemasAuditoria de SistemasAuditoria de SistemasAuditoria de Sistemas

s modernas ferramentas informáticas de análise de dados já permitem automatizar procedimentos de forma rápida e simples realizando os testes e as análises repetitivas

necessárias à actividade do auditor ou analista com um simples premir de uma tecla. Automatizar, sendo actualmente uma tarefa ao alcance de qualquer um de nós, deverá ser uma prioridade. Na realidade, ferramentas como o IDEA permitem compilar sequências mais ou menos longas de comandos e instruções de forma directa e intuitiva, as quais, após serem guardadas em ficheiros, normalmente designados por macros ou scipts, podem ser executadas repetindo com precisão todo o conjunto de operações previamente guardado. Quando e porquê utilizar uma macro? Como bem sabemos o computador pode reproduzir uma série de comandos muito mais rapidamente do que qualquer um de nós o faria manualmente, seleccionando funções, tomando decisões e preenchendo janelas de recolha de dados de forma quase instantânea e precisa. Se tivermos em atenção que, em muitas situações, estamos a repetir a mesma sequência de comandos vezes sem conta, ou se soubermos que determinada análise irá ter procedimentos repetitivos, deveremos de imediato começar a pensar em criar macros para os automatizar. Existem diversas situações no nosso dia-a-dia onde há necessidade de repetir um determinado conjunto de testes. Por exemplo, quando um ficheiro ou ficheiros são recebidos com regularidade e sobre estes é sempre necessário realizar uma bateria de testes padrão, uma macro será sem dúvida nestes casos, de uma grande utilidade porque poderá ser executada prontamente sempre que aqueles forem recebidos quase sem intervenção do auditor. Temos também como exemplo a eventual necessidade de criar um sistema automatizado de auditoria onde um determinado conjunto de testes ou análises são normalmente realizados por um grupo determinado de utilizadores. As identificações destes testes podem ser apresentadas como opções numa janela de diálogo de fácil selecção associando a cada uma destas opções uma macro que será responsável pela realização de uma série das tarefas previamente estabelecidas e programadas. Temos ainda como exemplo uma análise ou verificação que tem de ser repetida em várias localizações (por exemplo: filiais) ou ainda quando um mesmo sistema

necessita de ser examinado em vários locais ou clientes (por exemplo: um programa de contabilidade standard), aqui também, uma macro poderá ser de grande utilidade, porque estrutura e disciplina as tarefas de análise repetitivas. Assim, a criação de macros com carácter geral permitindo ao utilizador através de simples caixas de diálogo facilmente indicar alguns parâmetros necessários ao processamento, tais como, nome dos ficheiros e respectivos campos a tratar, datas e valores limites de excepção, etc. são boa prática a seguir. O IDEAScript Vamos fazer uma breve incursão ao utilitário de criação de macros existente no IDEA. O IDEA é uma ferramenta de análise de dados vocacionada para a auditoria. Possui uma robusta linguagem de programação designada por IDEAScript que permite aos utilizadores criarem as suas próprias macros em Visual Basic for Applications (VBA) de uma forma extraordinariamente simples sem grandes conhecimentos prévios ou profundos de uma qualquer linguagem de programação. A ferramenta IDEAScript inclui um gravador de macros. Este funciona como um tradicional gravador do vídeo ou de fita. Quando ligado grava tudo o que o utilizador faz até que o utilizador o desligue. Pode reproduzir de seguida as sequências gravadas repetindo com exactidão a mesma sequência e etapas executadas pela primeira vez durante a gravação. Esta ferramenta elimina a necessidade do utilizador manualmente ter de digitar as linhas de código de programação necessárias para a criação das suas macros. O IDEAScript faz isso pelo utilizador. Este gravador permite, assim, gravar uma sequência de etapas que serão a estrutura lógica e funcional da macro. Este gravador é uma excelente ferramenta de programação em Visual Basic, que escreve as linhas de código da macro e que permite ao utilizador inseri-las, alterá-las ou eliminá-las nas suas macros através de um ambiente de edição muito amigável.

A

MACROS - AUTOMATIZAR OS TESTES E ANÁLISES EM AUDITORIA

Drumond de Freitas – Consultor EQUICONSULTE, SA

As facilidades de automatização disponíveis presentemente em algumas ferramentas informáticas de análise de dados são uma forma de optimizar os normalmente escassos recursos disponíveis e de aumentar a eficiência e produtividade.

Auditoria Interna Janeiro/Março 2007 Nº 26 23

Apresentamos alguns ecrãs do ambiente de programação do IDEAScript.

Figura 1 O IDEAScript tem um utilitário para criação janelas de diálogo que permitem recolher dados e comunicar com o utilizador de uma forma muito simples e intuitiva (Fig. 2).

Figura 2 Neste ambiente o utilizador tem à sua disposição botões do tipo OK, CANCEL, YES, NO, etc., caixas de recolha de dados, caixas do tipo listBox, DropDown Listbox, ComboBox etc. que permitem ao programador, entre aspas, definir de forma fácil e intuitiva as caixas para os utilizadores recolherem informação de modo controlado e preciso (estes elementos em VBA são normalmente designados por controlos). Por exemplo, uma janela para recolher campos de uma base de dados criada com o IDEAScript está representada abaixo (Fig. 3):

Figura 3 As caixas de mensagens são facilmente criadas com o IDEAScript e têm normalmente o seguinte aspecto:

Figura 4 Conclusão A linguagem de programação IDEAScript é descendente longínqua da linguagem BASIC criada nos anos 60 para tornar a programação mais fácil para pessoas como nós. Comparada com o C++, COBOL ou FORTRAN o BASIC é mais simples, muito parecido com o Inglês e muito fácil de compreender e utilizar.

Muitos dos comandos utilizados no IDEAScript são os mesmos que existem na linguagem BASIC original e têm funções similares.

Do mesmo modo a gramática e a sintaxe do IDEAScript seguem as regras originárias do BASIC o que torna a sua utilização fácil para quem começa e familiar para quem já conhece VISUAL BASIC.

Forçar-se a utilizar macros é uma sábia decisão do auditor ou analista, porque a automatização das tarefas repetitivas aumenta a eficiência e a produtividade libertando o seu precioso tempo para tarefas mais nobres, que por certo, as terá no exercício da sua actividade.

o

Explorador de SUB Rotinas e Funções

Área de Edição de Código VBA

Editor de Caixas de Diálogo

Caixa de Diálogo com vários botões e campos de recolha

Janela de propriedades dos controlos

MACROS – Automatizar os testes e análises em auditoria

Auditoria Interna Janeiro/Março 2007 Nº 26 24

A palavra ao CIA

Como def ine a sua

experiência em audi tor ia in terna?

A minha experiência em auditoria interna conta já com 10

anos. Antes, tinha desempenhado funções de auditor externo

numa das actuais BIG FOUR. O mínimo que posso dizer é que

se trata de uma experiência muito enriquecedora.

Como auditor interno, passei a ver os assuntos “por dentro”,

alargando os meus conhecimentos em todas as direcções

dentro da organização onde trabalho e contribuindo para a

melhoria constante dos processos de gestão. É motivo de

constante satisfação ser parte integrante dos processos de

melhoria da organização, mantendo simultaneamente, a

independência necessária ao desempenho das minhas

funções.

Qual a pr inc ipal mot ivação para efectuar a

cert i f icação CIA?

Por um lado, estamos sempre a aprender. A certificação tratou-

se de mais um passo nesse sentido. Por outro lado, a

certificação representa um cunho indispensável ao futuro da

profissão. A certificação implica um determinado nível de

reconhecimento exterior constituindo uma mais-valia no

sentido do aumento da credibilidade e da idoneidade de quem

a possui.

Que vantagens ident i f ica na sua função após a

cert i f icação CIA?

A certificação deu-me uma maior clareza na abordagem dos

trabalhos, uma sistematização mais adequada à abrangência

actual da profissão.

Forneceu o enquadramento necessário às actividades de

auditoria interna.

Qual a importância que a cert i f icação CIA tem

na sua empresa?

A empresa passou a ter um auditor interno certificado, o que

lhe confere uma maior credibilidade, a par de outras

certificações que já possui, como as de qualidade e ambiente.

A certificação emprestou uma maior robustez às credenciais da

organização. Por outro lado, a empresa sabe que as

actividades de auditoria interna, são agora executadas,

segundo as normas para as melhores práticas existentes no

mercado.

Que importância tem a cert i f icação CIA na

va lor ização da audi tor ia in terna, em Portugal?

As respostas anteriores já satisfazem em parte esta pergunta. O futuro

da auditoria interna, na minha opinião, dividir-se-á entre os auditores

que são certificados e os outros. É portanto, muito importante, que os

auditores internos em Portugal, estejam conscientes disso mesmo e

se esforcem por dignificar a profissão. Portugal bem precisa de

auditores internos e outros quadros de elevada responsabilidade

dentro das organizações, habilitados a lutar pelo cumprimento das

normas, pelo rigor e exigência ética e profissional, contribuindo para

um clima geral de elevados princípios morais e éticos no país.

Fernando Monteiro, CIA

Vicaima

Auditoria Interna Janeiro/Março 2007 Nº 26 25

O que considera relevante para a

preparação da cert i f icação?

Para parte da preparação, a experiência profissional é

determinante, tendo em conta a interpretação das questões

colocadas no exame, porque daquela, resulta uma noção mais

precisa dos problemas e uma sensibilidade imediata, ligada ao

senso comum, adquirido no dia-a-dia do trabalho.

A outra parte da preparação, exige estudo e resolução de

problemas concretos, pelo que sugiro, se siga o método

proposto nos livros e CD da Gleim, mecanizando as respostas

através da repetição dos exercícios.

Assistir ao seminário do professor Glenn Sumners, foi no meu

caso, muito importante, devido à sua capacidade em focalizar

e exemplificar os problemas do exame.

O que achou mais interessante/dif íci l no

exame CIA?

O mais interessante foi a aquisição de conhecimentos sobre a

sistematização dos problemas e o seu enquadramento nas

funções que exerço, resultando em questões sobre as quais

não estamos, (pelo menos eu não estava), habituados a

pensar daquele ponto de vista. Entrar no problema daquela

forma. Referindo ao tipo de questões colocadas, em especial

sobre a gestão da actividade de auditoria e sobre a fraude. O

mais difícil terá sido a fina sensibilidade que é preciso ter para

conseguirmos distinguir as questões cuja resposta se

assemelha, para o que contribui a repetição de exercícios, se

quisermos ter sucesso.

Que conselho dá aos colegas que se

queiram cert i f icar CIA?

Aconselho a frequentarem o curso do professor Glenn

Sumners e a arranjarem um método de estudo rigoroso (pode

ser o indicado nos livros da Gleim), tentando não se desviarem

dele. Isto obrigará a uma maior concentração, resultando em

avanços contínuos.

No exame, aconselho a ler bem as questões e socorrerem-se

da principal arma que os auditores têm, isto é, a sua

sensibilidade para os problemas, adquiridos no dia-a-dia

profissional.

Como aprecia o papel do IPAI na

organização da cert i f icação CIA em

Portugal?

O IPAI tem desenvolv ido um papel

ext raord inár io na d ivu lgação e promoção da

importânc ia de ser CIA. A e le se deve a taxa

de sucesso conseguida na obtenção da

cer t i f icação nos exames já real izados. O IPAI

tem t ido um papel cruc ia l para a

credib i l ização e consis tênc ia das act iv idades

de audi tor ia in terna em Portugal . Aconselho

todos os audi tores in ternos e externos a se

tornarem membros do IPAI , v is to que daí só

resul tarão benef íc ios.

o

�

Fernando Monteiro, CIA

InscrevaInscrevaInscrevaInscreva----se no exame CIA ou CCSA.se no exame CIA ou CCSA.se no exame CIA ou CCSA.se no exame CIA ou CCSA.

Consulte Consulte Consulte Consulte www.ipai.ptwww.ipai.ptwww.ipai.ptwww.ipai.pt

Auditoria Interna Janeiro/Março 2007 Nº 26 26

Notícias Notícias Notícias Notícias Survey: IPAI _ KPMG Estudo sobre a Situação Actual da Função de Auditoria Interna em Portugal. Raul Fernandes, Vice-presidente IPAI

IPAI e a KPMG irão durante o próximo mês

de Maio lançar um Survey, designado por

Estudo sobre a Situação Actual da

Função de Auditoria Interna em Portugal.

Este estudo tem como principal objectivo avaliar a

situação actual da função de Auditoria Interna (AI) em

Portugal face a um conjunto de boas práticas

internacionais, considerando essencialmente três

factores chave de análise: Posicionamento, Pessoas e

Processos.

A função de AI deve, hoje em dia, assumir-se como

uma componente-chave e de valor acrescentado para

o sucesso das organizações, contribuindo para a

prossecução dos objectivos estratégicos definidos,

através de uma sistemática e disciplinada abordagem

para avaliar e melhorar a eficácia e eficiência da

gestão do risco, dos controlos e da gestão dos

processos.

Assim, este estudo revela-se extremamente relevante

e oportuno para as organizações, no sentido das

mesmas obterem um conhecimento do gap que a

função de AI actualmente apresenta face às boas

práticas internacionais, facilitando no futuro o

desenvolvimento de um conjunto de acções que

permitam o seu alinhamento com as referidas práticas

e acrescentar maior valor às organizações.

Novos Associados Francisco Manuel Vaz Lucas Ana Isabel Ferreira Gouveia Aline Vaz Gomes Paulo Jorge Ferreira Rodrigues Ana Mafalda C.C. e Costa Maria João Navarro C.S.Anjos Marco Artur Damião Bezelga Fernando Gastão Alves Gomes Nuno Miguel S.Abreu Dias Ana Catarina Brissos S. Mendes Alexandra Paula Alves P.Antunes António João Conceição A. Alexandre Albino Fortunato André Costa António Gomes Marques Vicente Ricardo Alexandre da Silva Santos António Tiago S. Leitão Vicente Ana Maria Canelas S.M. Xavier Gonçalo José S. Leitão Vicente Maria Manuel Raposo Oliviera Helena Cristina Miranda Pimentel Luís Afonso Gomes da Costa Ana Luísa Coelho Ferreira Rui Alexandre Oliveira de Almeida Manuel Vítor Lima Vieira Alves Ricardo Jorge Alves Oliveira Susana Maria L.Paleta Venâncio Joel Carlos Coelho da Silva Cristina Maria R.Pacheco Amador José Carlos Freixinho Maria Júlia Soares Santos Moreira José Carlos Geraldo Narigueta

O

Errata Na edição anterior, o nome do articulista do artigo de sistemas de informação foi indicado erradamente. O nome correcto é Drumond de Freitas. Pedimos, pelo facto, desculpa ao articulista e aos nossos leitores. CIA´s Eduardo Margarido é colaborador da empresa “Allianz Portugal SA”. Solicitamos, pelo facto, desculpas ao colega e à empresa referida, pelo erro cometido.

Auditoria Interna Janeiro/Março 2007 Nº 26 27

Plano de Formação e certificação 2007

Tronco formativo Designação Data de início Local Dur Formador

CPE´s

Auditoria de Sistemas de Informação

Sistemas e Controlos Informáticos de Apoio à Auditoria

20/Jun/2007 Lisboa 1 dia Pedro Cupertino

Miranda 8

Auditoria de Sistemas de Informação

Auditoria de Sistemas e Tecnologias de Informação

21/Jun/2007 Lisboa 2 dias Paulo Gomes,

CISA 16

CIA - Certified Internal Auditor

1 ª Parte CIA Review –Internal Audit Role in Governance, Risk & Control

25/Jun/2007 Lisboa 1 dia Glenn Sumners,

CIA 8

CIA - Certified Internal Auditor

2ª Parte CIA Review – Conducting the Internal Audit Engagement

26/Jun/2007 Lisboa 1 dia Glenn Sumners,

CIA 8

CIA - Certified Internal Auditor

3ª Parte CIA Review – Business Analysis and Information Technology

27/Jun/2007 Lisboa 2 dias Glenn Sumners,

CIA 16

CIA - Certified Internal Auditor

4ª Parte CIA Review – Business Management Skills

29/Jun/2007 Lisboa 1 dia Glenn Sumners,

CIA 8

Sector Público / Governamental

Auditoria a empreitadas de obras públicas 08/Out/2007 Lisboa 2 dias Nuno Moita da

Costa 16

CIA - Certified Internal Auditor

1 ª Parte CIA Review –Internal Audit Role in Governance, Risk & Control

15/Out/2007 Lisboa 1 dia Nuno Martins, CIA,

CISA 8

CIA - Certified Internal Auditor

2ª Parte CIA Review – Conducting the Internal Audit Engagement

16/Out/2007 Lisboa 1 dia Nuno Oliveira, CIA 8

CIA - Certified Internal Auditor

3ª Parte CIA Review – Business Analysis and Information Technology

17/Out/2007 Lisboa 1 dia A designar 8

CIA - Certified Internal Auditor

4ª Parte CIA Review – Business Management Skills

18/Out/2007 Lisboa 1 dia Domingos Sequeira de Almeida, CIA,

CCSA 8

CAE e Auditores Seniores Avaliação Interna e Externa da Qualidade da Auditoria Interna

29/Out/2007 Lisboa 1 dia Domingos Sequeira de Almeida, CIA,

CCSA 8

XIV CONFERÊNCIA NACIONAL DO IPAI 20/Nov/2007 Lisboa 1 dia n/a 8

Aspectos Práticos de Auditoria Interna e Especialidades

Técnicas de Amostragem em Auditoria 2º Semestre de 2007

Lisboa A designar

Instituições de Crédito e Sociedades Financeiras

Auditorias a salas de mercados e Back Office 2º Semestre de 2007

Lisboa A designar

Instituições de Crédito e Sociedades Financeiras

Auditoria Interna no âmbito do Basileia II 2º Semestre de 2007

Lisboa A designar

As acções de formação aqui apresentadas serão objecto de posterior confirmação podendo vir a sofrer eventuais alterações.

Consulte em www.ipai.pt ou solicite informação ao IPAI – Telefone/ Fax 213 151 002

Auditoria Interna Janeiro/Março 2007 Nº 26 28

Publicidade

Audit Automation Facilities Departamento Comercial

Silvia Cardoso (Assistente Comercial) Tel: 21 3814890; Fax: 21 3860053

E-mail:comercial@wjportugal.com.pt

Disponíveis para agendar, uma demo “à sua realidade”, sem qualquer compromisso. Contacte-nos

Glossário

Balanced Scorecard Um conceito para medição das atividades de uma empresa em relação a sua visão e estratégias. Este proporciona aos gestores uma abrangente visão do desempenho de um negócio. Este equilibra uma perspectiva financeira com as perspectivas do cliente, do processo interno e de aprendizado (aprendizgem) e desenvolvimento. Código de Ética O Código de Ética do Instituto de Auditores Internos (IIA) inclui os princípios relevantes para a profissão e a prática da auditoria interna e as Regras de Conduta que descrevem o comportamento esperado dos auditores internos.. O Código de Ética aplica-se tanto a indivíduos como a entidades que prestam serviços de auditoria interna. O objectivo do Código de Ética é promover uma cultura ética na profissão global de auditoria interna. Conflito de interesses Qualquer relacionamento que represente ou aparente representar contrário ao melhor interesse da organização. Um conflito de interesse prejudicaria a

capacidade do indivíduo para desempenhar seus deveres e responsabilidades de maneira objectiva. Conformidade A capacidade para assegurar, razoavelmente, conformidade e aderência às políticas organizacionais, planos, procedimentos, leis, regulamentos e contratos. Conselho de Auditoria (Audit Committee) O Conselho de Auditoria auxilia o Conselho de Administração no desempenho de suas responsabilidades em relação a políticas contabilísticas, controle interno e emissão de relatórios financeiros. Conselho de Administração O Conselho de Administração representa o corpo regulador da organização, tais como o conselho de administração, o conselho de supervisão, o responsável por uma agência ou corpo legislativo, o conselho de directores ou tutores de uma organização sem fins lucrativos, ou qualquer outro órgão da organização, incluindo o Conselho de Auditoria, a quem pode estar funcionalmente subordinado o director executivo de auditoria.

Auditoria Interna Janeiro/Março 2007 Nº 26 29

Pesquisa na RedePesquisa na RedePesquisa na RedePesquisa na Rede www2.eycom.ch/risk/

www.

ruleworks.co.uk/prince2/images/risk-cycle.gif

Biblioteca do auditor

“O compromisso é fazermos o

que nos propusemos a fazer,

muito depois do nosso

entusiasmo inicial para o

fazer se ter desvanecido.

Embora o compromisso nos

permita manter o nosso plano

e o nosso objectivo, é a

primeira coisa que desaparece

quando começamos a

desistir”.

“Nunca se iguale o mestre ao aluno malcriado. Nem

de seus lábios saia palavra que não possa ser

repetida. Explica-se que uma criança ou

adolescente escandalize o professor, mas não há

desculpa para o que, tendo o ofício de educar,

escandalize o adolescente ou a criança. É o

exemplo, no mestre, a grande força formadora”.

In Didáctica Mínima, Grisi, Rafael.

15º Aniversário IPAI

Contamos consigo.

Datas importantes:

Assembleia-geral Constituinte: 17 Fevereiro de 1992.

Escritura pública de constituição: 6 de Março de 1992.

Publicação no Diário da República: III série nº 75 de 30 de Março de 1992.

Chapter 253 do IIA: 1 de Junho de 1992.

Instituto Nacional: 2 de Dezembro 2005 (IIA Portugal).

Caneta Digital

Auditoria Interna Janeiro/Março 2007 Nº 26 30

O Zé auditor Autor: Miguel Silva

Correspondência

Não hesite. Escreva um artigo ou envie uma notícia. Pode enviar para os seguintes endereços: Por correio electrónico: ipai@netcabo.pt; joaquim.l.pinheiro@sapo.pt; jleitepinheiro@gmail.com Por carta: IPAI – Av. Duque de Loulé, 5 2 B 1050-089 LISBOA Por fax: 213 151 002

Auditoria Interna Janeiro/Março 2007 Nº 26 31

Auditoria Interna Janeiro/Março 2007 Nº 26 32